Хакеры маскируют вирусы под обновления Windows: вредонос скрывают в PNG

В последнее время злоумышленники все чаще прибегают к хитроумным схемам, маскируя вредоносные программы под обновления Windows. Пользователям на экране браузера демонстрируются якобы официальные окна с предложением обновить систему, что вызывает доверие и побуждает выполнить определённые действия. Как выяснили специалисты Huntress, такие фальшивые страницы не просто пугают, а заставляют жертву вводить комбинации клавиш, которые незаметно запускают вредоносные команды в системе.

Главная особенность этих атак — использование стеганографии: вредоносный код прячется внутри обычных PNG-изображений, которые дополнительно шифруются по стандарту AES. После этого специальная сборка на .NET, получившая название Stego Loader, извлекает и активирует вредоносную нагрузку прямо в оперативной памяти, минуя традиционные антивирусные барьеры. Такой подход позволяет запускать различные типы файлов — от скриптов до исполняемых модулей — без следов на диске.

Эксперты уже обнаружили, что подобные схемы используются для распространения известных вредоносов, таких как LummaC2 и Rhadamanthys. При этом злоумышленники не ограничиваются только маскировкой: они применяют методы динамического обхода, например, вызывают тысячи пустых функций, чтобы затруднить анализ вредоносного ПО.

Несмотря на то, что часть инфраструктуры была выведена из строя в ходе недавних операций правоохранителей, поддельные страницы обновлений продолжают появляться. Атаки становятся всё изощрённее: злоумышленники чередуют анимации и запросы, чтобы убедить пользователя выполнить нужные им действия.

Исследователи советуют внимательно следить за подозрительными процессами, например, если explorer.exe запускает mshta.exe или PowerShell, а также проверять реестр на наличие необычных команд. Для защиты рекомендуется не только использовать антивирусы и брандмауэры, но и ограничивать доступ к окну запуска Windows, а также тщательно анализировать любые файлы изображений, поступающие из непроверенных источников.

В современных условиях предприятиям приходится учитывать, что даже привычные элементы интерфейса могут быть использованы для проникновения вредоносного кода, что усложняет мониторинг и расследование инцидентов. Михаил Новокшенов