Admin
Администратор
Microsoft обнаружила новую кампанию, в рамках которой злоумышленники распространяют троянизированные игровые утилиты через браузеры и чат-платформы. Эти файлы, такие как Xeno.exe или RobloxPlayerBeta.exe, используются для установки удалённого доступа трояна (RAT).
Вредоносный загрузчик использует портативную среду выполнения Java для запуска вредоносного JAR-файла. Для скрытности применяются PowerShell и LOLBins, такие как cmstp.exe. После выполнения загрузчик удаляет себя, добавляет исключения в Microsoft Defender и устанавливает механизмы для постоянного доступа через планировщик задач и скрипт автозапуска.
Финальная полезная нагрузка представляет собой многофункциональное вредоносное ПО, которое действует как загрузчик, загрузчик, исполнитель и RAT. Троян подключается к IP-адресу 79.110.49[.]15 для управления и контроля (C2), что позволяет злоумышленникам выполнять различные действия, включая кражу данных и установку дополнительных вредоносных программ. Microsoft опубликовала индикаторы компрометации (IoCs) для этой кампании.
