Хакеры используют файлы SettingContent-ms для загрузки вредоносного ПО
Злоумышленники превратили опубликованный в прошлом месяце PoC-код в реальный эксплоит для атак на ПК под управлением Windows 10.
Авторы вредоносного ПО неистово набросились на новый вектор атак, представленный в начале прошлого месяца. Данный способ предполагает использование файлов SettingContent-ms для выполнения кода на ПК под управлением Windows 10. ИБ-эксперт Мэтт Нельсон (Matt Nelson) опубликовал свое исследование по данной теме три недели назад, и с тех пор авторы вредоносного ПО всячески пытаются превратить разработанный им PoC-код в полноценный эксплоит для реальных атак.
По данным исследователя компании FireEye Ника Карра (Nick Carr), на VirusTotal новые эксплоиты появляются ежедневно. Тем не менее, если изначально они были преимущественно тестовыми, то несколько дней назад злоумышленники впервые создали цепочку эксплоитов, использующую файл SettingContent-ms для загрузки и установки реального вредоносного ПО. В частности, один из используемых злоумышленниками файлов SettingContent-ms загружал троян для удаленного доступа Remcos.
Первые появившиеся на VirusTotal вариации на тему опубликованного Нельсоном эксплоита, вероятнее всего, были созданы исследователями. Однако появление рабочих эксплоитов для загрузки реального вредоносного ПО свидетельствует о серьезных намерениях киберпреступников использовать данный вектор атак.