Хакеры начали использовать метод внедрения кода PROPagate
Злоумышленники используют данный метод для заражения пользователей майнером криптовалюты.
Исследователи безопасности из компании FireEye зафиксировали случаи применения авторами вредоносных программ техники внедрения кода PROPagate, описанного в ноябре 2017 года. Техника заключается в использовании функций служб управления API интерфейса Windows GUI для загрузки и выполнения вредоносного кода внутри процессов легитимных приложений.
Разработчикам вредоносных программ потребовалось 8 месяцев для того, чтобы разобраться в PROPagate. Согласно отчету, исследователи обнаружили вредоносную кампанию с использованием технологии PROPagate для заражения устройство пользователей майнерами криптовалюты.
По словам специалистов, операторы набора эксплойтов RIG запустили кампанию по перехвату трафика с легитимных сайтов с помощью скрытого элемента iframe и перенаправления пользователей на «целевую страницу». На данной странице RIG использует один из трех вредоносных скриптов для загрузки и запуска вредоносного установщика NSIS. В свою очередь установщик запускает трехступенчатый механизм, который включает в себя технику PROPagate, для заражения устройства пользователя конечной полезной нагрузкой, а именно майнером криптовалюты Monero.
