• VLMI - форум по обмену информацией. На форуме можете найти способы заработка, разнообразную информацию по интернет-безопасности, обмен знаниями, курсы/сливы.

    После регистрации будут доступны основные разделы.

    Контент форума создают пользователи, администрация за действия пользователей не несёт ответственности, отказ от ответственности. Так же перед использованием форума необходимо ознакомиться с правилами ресурса. Продолжая использовать ресурс вы соглашаетесь с правилами.
  • Подпишись на наш канал в Telegram для информации о актуальных зеркалах форума: https://t.me/vlmiclub

Операторы Gootkit Loader используют VLC Media Player как инструмент постэксплуатации

PAINNOMORE

Участник
Сообщения
311
Реакции
24
0 руб.
Исследователи Trend Micro предупреждают, что Gootkit Loader нацелился на отрасль здравоохранения Австралии, используя отравление SEO (SEO poisoning) и VLC Media Player в качестве Cobalt Strike.

В методах отравления SEO используются такие ключевые слова, как «больница», «здоровье», «медицина» и «корпоративное соглашение» в сочетании с названиями австралийских городов. При поиске слов, связанных с австралийской отраслью здравоохранения, «отравленные» сайты отображаются на первой странице результатов поиска. При открытии сайта появляется страница форума, которая содержит ссылку для скачивания ZIP-файла с вредоносным ПО.

ZIP-архив также содержит JavaScript-файл, который используется для обфускации и обеспечения постоянства через запланированное задание. Запланированная задача запускает PowerShell-сценарий и извлекает файлы для цепочки атаки с C&C-сервера.

Вторая стадия заражения наступает по истечении времени ожидания, которая длится от нескольких часов до двух дней. По истечении времени ожидания полезные нагрузки удаляются (msdtc.exe и libvlc.dll). «msdtc.exe» — это установщик VLC Media Player, который выдает себя за легитимный компонент Windows. С помощью метода DLL Sideloading установщик загружает библиотеку «libvlc.dll» с модулем Cobalt Strike, а затем сам функционирует как Cobalt Strike.
 

snik9

Участник
Сообщения
66
Реакции
24
0 руб.
Нельзя сказать что это какой-то новый вирус, он себя ведет в системе как и всё стандартные вирусы, также маскируется под какой ни будь процесс виндовс.
 
Сверху Снизу