- Новый специальный загрузчик вредоносного ПО, написанный на JPHP, сеет хаос
- Специальную полезную нагрузку сложно обнаружить с помощью инструментов кибербезопасности.
- Загрузчик вредоносного ПО может доставлять пользовательские полезные данные по мере необходимости.
По данным Trustwave SpiderLabs, это так. недавно раскрыто новая форма вредоносного ПО под названием Pronsis Loader, которая уже вызывает проблемы из-за своего уникального дизайна и тактики.
Pronsis Loader использует JPHP, менее известный язык программирования, редко используемый киберпреступниками, а также использует передовые методы установки, что затрудняет обнаружение и устранение угроз для систем кибербезопасности.
JPHP, вариант популярного языка PHP, редко встречается в мире разработки вредоносных программ. Хотя PHP обычно используется для веб-приложений, его интеграция в разработку вредоносных программ для настольных компьютеров встречается редко, что дает Pronsis Loader преимущество во избежание обнаружения.
JPHP – редкий выбор в борьбе с киберпреступностью
Pronsis Loader может обходить системы обнаружения на основе сигнатур, которые обычно предназначены для обнаружения более распространенных языков программирования во вредоносных программах. JPHP придает вредоносному ПО «скрытый» уровень, который позволяет ему оставаться вне поля зрения многих инструментов безопасности.
Вредоносная программа также использует методы запутывания и шифрования, чтобы скрыть свое присутствие на начальном этапе заражения. При его выполнении используются сложные методы, позволяющие избежать срабатывания традиционного антивирусного программного обеспечения и систем защиты конечных точек. Загрузчик изначально незаметно устанавливается в систему и маскирует свою деятельность, имитируя законные процессы или приложения, что затрудняет обнаружение как автоматическими средствами безопасности, так и человеческими аналитиками.
После установки Pronsis Loader может загружать и запускать дополнительные вредоносные программы, включая программы-вымогатели, шпионские программы или инструменты для кражи данных. Такой модульный подход делает вредоносное ПО чрезвычайно гибким и позволяет злоумышленникам настраивать конечную полезную нагрузку в зависимости от целевой системы или среды. Pronsis Loader является частью растущей тенденции в разработке вредоносного ПО, когда злоумышленники используют загрузчики в качестве первого шага в многоэтапных атаках. Эти загрузчики, предназначенные для внедрения в систему других вредоносных программ, предоставляют злоумышленникам гибкость.
Для борьбы с этими развивающимися угрозами группам безопасности следует применять более совершенные методы мониторинга и анализа, такие как обнаружение на основе поведения, которое может идентифицировать вредоносное ПО на основе их действий, а не только их сигнатур кода. Кроме того, постоянные обновления аналитики угроз могут помочь обнаружить использование редких языков и методов, например, используемых Pronsis Loader.
«Pronsis Loader знаменует собой значительный сдвиг в том, как киберпреступники развертывают вредоносное ПО, используя JPHP и тихую установку для обхода традиционных методов обнаружения. Его способность доставлять полезные нагрузки высокого риска, такие как Lumma Stealer и Latrodectus, делает его особенно опасным», — сказал Шон Канади, глобальный директор Trustwave SpiderLabs.
«Наше исследование раскрывает не только уникальные возможности вредоносного ПО, но и инфраструктуру, которая может быть использована в будущих кампаниях, чтобы дать возможность командам безопасности укрепить свою защиту», — добавил Канади.
Вам также может понравиться это
