Поддельные JPEG-файлы стали способом скрытой установки трояна

Специалисты по кибербезопасности сообщили о новой схеме атак на Windows-системы с использованием поддельных JPEG-файлов. Кампания получила название Operation SilentCanvas.

Вредоносный файл распространяется через фишинговые письма под именем sysupdate.jpeg. Пользователям могут отправлять сообщения с ложными уведомлениями об обновлении программ или ссылками для обмена файлами.

Хотя файл имеет расширение изображения, внутри находится PowerShell-скрипт. После запуска он подготавливает среду для загрузки дополнительных компонентов с серверов злоумышленников.

Исследователи компании Cyfirma установили, что затем на устройство загружается измененная версия ConnectWise ScreenConnect. Это легальная программа удаленного доступа, но в данном случае она используется для скрытого управления зараженным компьютером.

С помощью такой схемы злоумышленники могут получить полный контроль над устройством. Вредоносное ПО позволяет следить за экраном и микрофоном пользователя, записывать видео и передавать файлы через защищенный канал. Также система умеет обходить антивирусные механизмы.

Эксперты рекомендуют обращать внимание на появление неизвестных программ удаленного доступа и на неожиданный запуск системных процессов csc.exe, cvtres.exe и ComputerDefaults.exe. Такие признаки могут указывать на заражение устройства, сообщает Naked Science.

Больше новостей и эксклюзивных видео смотрите в канале Самара Онлайн 24 в MAX.