Windows PowerShell заражает компьютеры трояном Laziok

О трояне Laziok стало известно год назад, когда представители компании Symantec анализировали группы кибершпионажа. Они выявили, что этот вирус используется для слежки за ближневосточными предприятиями, которые работают в сфере энергетики.

В марте 2016 года стало известно, что для инфицирования компьютеров вредоносный код использует эксплоиты браузера Internet Explorer, вредоносное ПО, которое хранится в Google Docs, а также скрипты PowerShell. Вирус применяется для сбора и кражи информации с компьютеров, которая впоследствии может быть использована для хакерских атак. Данные о новой угрозе, которой подвержены ПК, были опубликованы FireEye. Представители компании выявили ее, анализируя собираемую телеметрию. Она использует JavaScript код, который расположен на польских серверах.

Сведения о вирусе на FireEye

Вирус попадает на компьютер следующим образом. Когда юзер с помощью браузера Internet Explorer (версий 3-11) переходит на сайт, содержащий зловредный код, начинает действовать эксплоит, который в интернет-обозревателе запускает VBScript, используя уязвимость CVE-2014-6332. После этого хакеры получают доступ к компьютерам жертвы в GodMode-режиме. После этого в действие вступают скрипты PowerShell, который с помощью ссылки на Google Docs скачивает троян Laziok на ПК.

После того как вирус инсталлируется, он собирает о компьютере сведения. Это данные о процессоре, оперативной памяти и ее размере, стране, антивирусе и имени компьютера. Полученная информация пересылается на удаленный сервер.

Интересно, но вредоносный код, который содержится в Google Docs, не удалось обнаружить при сканировании с помощью автоматических инструментов.


И снова стоит сказать, а не пора ли использовать Windows 10 с браузером Edge, чтобы защитить себя от подобных уязвимостей?

Хороший сайт? Может подписаться?

Рассылка новостей из мира IT, полезных компьютерных трюков, интересных и познавательных статей. Всем подписчикам бесплатная компьютерная помощь.

Комментарии