Hackeři neustále hledají nové způsoby, jak mohou jejich útoky zůstat bez povšimnutí, a to jak uživateli, tak bezpečnostními programy. A jedním z nejlepších způsobů, jak toho dosáhnout, je využít legitimních nástrojů a programů, které jsou zjevně neškodné, a proto nevyvolávají podezření na antivirus. Několik skupin hackerů tedy začalo používat populární open source nástroj, Microsoft Sestavte motor , vytvářet nové hrozby a nové viry, které ohrožují naši bezpečnost.
Microsoft Build Engine, také známý jako MSBuild , je vývojový nástroj společnosti Microsoft pro kompilaci vlastních programů, podobný tomu, jak funguje nástroj „make“ Linux. Díky tomuto programu mohou vývojáři automaticky kompilovat své programy na libovolném počítači díky souboru XML, který musí být doprovázen kódem, kde najdete pokyny, jak to udělat (kompilace, balení, testy atd.).
Jelikož se jedná o nástroj společnosti Microsoft a používá se podpis společnosti, je normální, že spustitelné soubory vytvořené pomocí tohoto programu zůstanou nepovšimnuté. A nakonec to hackeři nakonec využijí.
Trojan krade vaše data a hesla
Skupina bezpečnostních výzkumníků našla nový typ hrozeb, který získává znepokojivou síťovou aktivitu. Různé skupiny hackerů začínají používat nástroj MSBuild k distribuci hrozeb a jejich kompilaci přímo na počítačích obětí. Konkrétně to, co dělají, je načíst škodlivý proces přímo do paměti a vyhnout se detekci bezpečnostními programy.
Konkrétně to, co se v systémech kompiluje, jsou tři užitečná zatížení. Na jedné straně to máme dva vzdálené přístupy trojské koně (Remcos RAT a Quasar RAT) a na straně druhé a modul ke krádeži dat (RedLine Stealer). Když jsou tyto hrozby nainstalovány v systému, začnou shromažďovat všechny druhy informací, od úhozů kláves až po přihlašovací údaje uložené v počítači a možné kryptoměny. Mohou dokonce pořídit snímky obrazovky a odeslat je na server.
Tyto hrozby nemají spustitelný soubor jako takový (jsou „Souborový“ malware ), takže je antivirus nemůže detekovat. Dotyčný soubor, který se dostane do našeho počítače, je .proj (projekt) a všechny antiviry VitusTotal jej označují jako nezjistitelné.
Jak se chránit před tímto souborovým virem
Bezpečnost vědci přesně nevědí, jak tato nová hrozba zasahuje počítače obětí. Může to být prostřednictvím pošty, falešných stránek ke stažení nebo dokonce prostřednictvím sociálního inženýrství. Proto není známo, zda se jedná o masivní nebo cílené útoky. Je však jasné, že musíte mít nainstalovaný nástroj Microsoft build a že musíte spustit soubor projektu pro MSBuild, abyste jej zkompilovali. V určitém okamžiku tedy musí existovat interakce s počítačem uživatele.
Protože neexistuje žádný takový spis, virus “, Antivirus proti tomu moc nezmůže. To je problém “ bezfilní „Viry, které jsou stále populárnější díky tomu, že se těmto vrstvám zabezpečení vyhýbají. Proto je stále důležitější nedůvěřovat naší bezpečnosti stoprocentně antiviru, ale mít zdravý rozum. Pomocí nástroje, jako je Process Explorer, který nám umožňuje analyzovat všechny procesy ve VirusTotal najednou, občas zkontrolujeme, zda jsou otevřené procesy spolehlivé.