Blog

Hujumning hech qanday bosqichida tizim fayllari bo’lmagan fayllar ishlatilmaydi.

Microsoft mutaxassislari foydalanuvchilarni an’anaviy xavfsizlik yechimlari bilan aniqlash qiyin bo’lgan Astaroth zararli dasturiga ega kompyuterlarga qaratilgan faol zararli dastur kampaniyasi haqida ogohlantirdi. Kampaniya Windows Defender antivirus mahsulotining tijoriy versiyasi bo’lgan Windows Defender ATP dasturini ishlab chiqish guruhi tomonidan topilgan. Jamoa a’zosi Andrea Lellining so‘zlariga ko‘ra, mutaxassislar Windows boshqaruv asboblari buyruq qatori (WMIC) vositasidan foydalanish keskin oshganini payqagach, shubhalanishgan.

WMIC Windows-ning zamonaviy versiyalarida qonuniy vositadir, ammo undan foydalanishning keskin ko’tarilishi zararli kampaniyani aniq ko’rsatdi. Mutaxassislar yaqinroq o‘rganib chiqqach, .LNK faylini o‘z ichiga olgan veb-saytga havola bilan fishing elektron pochta xabarlarini yuborish bo‘yicha keng ko‘lamli operatsiyani aniqladilar.

Faylni yuklab olish va ochishdan so’ng, WMIC va boshqa bir qator qonuniy Windows vositalari ishga tushirildi, qo’shimcha kodni yuklab olish, bir-biri bilan ma’lumot almashish va kodni faqat xotirada bajarish (faylsiz bajarish deb ataladi). Diskda hech qanday fayl saqlanmaganligi sababli, an’anaviy xavfsizlik echimlari hujumni aniqlamadi.

Hujumning yakuniy bosqichida tizimga bir qator ilovalar uchun hisob maʼlumotlarini oʻgʻirlash uchun moʻljallangan infostealer Astaroth zararli dasturi yuklab olindi. Ushbu zararli dastur yordamida birinchi hujumlar 2018 yilda aniqlangan.Joriy yilning fevral oyida zararli dastur Yevropa va Braziliyadagi foydalanuvchilarga hujum qilgan.

Microsoft tadqiqotchilari may-iyun oylarida yangi kampaniyani aniqladilar. Barcha zararlangan foydalanuvchilarning 95% dan ortig’i Braziliyada istiqomat qiladi. Lelli ta’kidlaganidek, hujumning hech bir bosqichida tizimdan tashqari fayllar ishlatilmagan. Faqat tizimda mavjud bo’lgan vositalardan foydalanadigan bunday hujum «yerdan tashqarida yashash» deb ataladi. So’nggi uch yil ichida ushbu turdagi hujumlar tobora keng tarqalgan bo’lib, antivirus sotuvchilarni yangi aniqlash usullarini ishlab chiqishga majbur qilmoqda.