Admin
Администратор
Файлы с обоями в высоком разрешении стали новым инструментом для кибератак. В конце февраля эксперты обнаружили кампанию, в которой злоумышленники использовали популярный архивный сервис для скрытой доставки вредоносного кода, маскируя его под обычные изображения.
Специалисты сопоставили данные сервиса URLhaus и песочницы Tria.ge, выявив активную кампанию. Злоумышленники прятали .NET-библиотеки с инжектором внутри JPEG-изображений размером 3840 на 2160 пикселей. До определённого момента файл остаётся обычной картинкой, после чего начинается закодированная в base64 библиотека.
С 24 по 28 февраля злоумышленники ежедневно пересобирали и заново загружали вредоносные файлы через четыре учётные записи Gmail. JavaScript-файл запускал wscript.exe, который в скрытом режиме поднимал PowerShell. Скрипт скачивал изображение, вырезал из него блок между маркерами, декодировал base64 и загружал полученную .NET-библиотеку напрямую в память. Библиотека маскировалась под легитимную библиотеку Microsoft.Win32.TaskScheduler.dll. Инжектор внедрял полезную нагрузку в процесс MSBuild, загружая Remcos или AsyncRAT. Remcos активировал перехват нажатий клавиш, а AsyncRAT работал без установки на диск, повторно загружая код каждую минуту. Инфраструктура указывает на одного оператора, вероятно связанного с Колумбией. Archive.org стал удобной площадкой для такой схемы благодаря доверенному домену и отсутствию жёсткой проверки содержимого.
