Штатные функции декомпрессора SFX-архивов позволяют запускать PowerShell и скрипты без обнаружения антивирусами

Злоумышленники используют штатные возможности декомпрессора самораспаковывающегося (SFX) архива WinRAR или 7-Zip для запуска в привилегированном режиме PowerShell и скриптов для внедрения зловредов на ПК с ОС Windows без реагирования на эту ситуацию со стороны антивирусных средств защиты.

Эксперты компании по информационной безопасности CrowdStrike выяснили, что этот вектор атаки последнее время стал очень популярен из-за его простоты и возможности скрыть активность от пользователя, например, такой SFX-архив можно запустить с экрана входа в систему с наивысшими привилегиями NT AUTHORITY\SYSTEM. Хакеры просто добавляют вредоносные функции в самораспаковывающиеся архивы WinRAR, содержащие безвредные файлы-приманки. Это позволяет скрытно внедрять бэкдоры на ПК пользователей.

Исследователи CrowdStrike обнаружили группу злоумышленников, которая использовала украденные учётные данные для компрометации системной утилиты utilman.exe с помощью SFX-файла, который ранее был внедрён в систему. Utilman — это приложение для специальных возможностей, которое можно запустить до входа пользователя в систему. Хакеры часто используют эту утилиту для обхода системной аутентификации в ОС Windows.

Назад