Кибербезопасность становится все более актуальной проблемой для отдельных лиц и организаций по всему миру. В быстро меняющейся ситуации я киберпреступники Я всегда ищу новые способы обойти защиту и распространять свое вредоносное ПО. Тревожной тенденцией последнего времени является все более широкое злоупотребление коммерческими упаковочными инструментами, такими как BoxedApp для сокрытия и распространения различных штаммов вредоносного ПО.
Содержание
Рост злоупотреблений BoxedApp
По мнению исследователей безопасности из Контрольно-пропускной пунктЗа последний год произошло значительное увеличение случаев неправомерного использования продуктов BoxedApp, особенно в атаках, направленных на финансовые учреждения и правительственные организации. Эти упаковочные инструменты, такие как Упаковщик BoxedApp е BxILGoпредлагают расширенные функции, такие как Виртуальное хранилище, виртуальные процессы и универсальная система приборов. Хотя они созданы для законных целей, киберпреступники используют их для упаковки вредоносных полезных данных, уклонения от обнаружения и усложнения анализа.
Привлекательные особенности пакетов BoxedApp
Что делает продукты BoxedApp такими привлекательными для злоумышленников, так это их расширенные и настраиваемые функции. Л'SDK в BoxedApp это позволяет им создавать уникальные, адаптированные пакеты, которые используют его передовые возможности, оставаясь при этом достаточно разнообразными, чтобы избежать статического отслеживания. Некоторые из наиболее привлекательных функций включают в себя Виртуальная файловая система, виртуальный реестр, виртуальные процессы, подключение API WIN/NTобщая упаковка, объединение отдельных файлов и ввод-вывод в память без сброса файлов на диск.
Анализ образцов вредоносного ПО
Исследователи проанализировали около 1200 образцов, упакованных с помощью BoxedApp, отправленных в Всего вирусов за последние три года. Вызывает тревогу тот факт, что 25% этих образцов были признаны вредоносными на основании их поведения. Среди наиболее распространенных семейств вредоносных программ были RAT (троян удаленного доступа) включает QuasarRAT, NanoCore, NjRAT, Neshta, AsyncRAT и LodaRAT.а также такие воры, как RevengeRAT, AgentTesla, RedLine и Remcos. Также были обнаружены случаи использования программ-вымогателей, таких как LockBit.
Ключевые особенности упаковки BoxedApp
Углубленный анализ бинарной структуры образцов, упакованных в различные продукты BoxedApp, позволил получить ценную информацию. Такие функции, как виртуальное хранилище,Перехват API и внедрение PE, которые позволяют восстановить основные двоичные файлы вредоносного ПО. Также были предоставлены подписи Yara, чтобы помочь статически определить использование упаковщика и отличить конкретный используемый продукт.
Преимущества для киберпреступников
Несмотря на потенциальные недостатки, преимущества использования передовых инструментов упаковки, таких как BoxedApp, похоже, перевешивают недостатки. Киберпреступники могут рассчитывать на надежные, готовые к использованию продукты с расширенными функциями, доступный SDK для создания индивидуальных и разнообразных пакетов, а также такие функции, как Виртуальное хранилище и подключение API WIN/NT. Это затрудняет различение обычных приложений от вредоносных, увеличивает количество ложных срабатываний и усложняет усилия по обнаружению и анализу.
Проблемы безопасности
Хотя основные антивирусы и Защитник Windows обычно способны обрабатывать ложные срабатывания, распространение этих передовых инструментов упаковки представляет собой серьезная угроза кибербезопасности. Исследователи подчеркивают важность полного понимания характеристик этих пакетов, таких как виртуальная файловая система и перехват API, для усиления киберзащиты. Обсуждение контрмер и продвижение безопасных методов разработки программного обеспечения являются важными шагами в борьбе с этими постоянно развивающимися угрозами.
Источник статьи ВОЗ.
