Хакерская группа DarkHydrus использует Microsoft Excel для введения программы RogueRobin
RogueRobin – небезызвестная угроза, разработанная хакерской группой автоматически запрограммированных инструментов DarkHydrus. Новая вредоносная кампания, приписанная этой группе, использует Google Drive и Microsoft Excel через серверы контроля и управления для атак по всему миру.
Согласно отчетам по кибербезопасности, целевые атаки включали отправку документов Excel с поддержкой макросов (код VBA) и файлов .xlsm через фишинговые электронные письма на арабском языке.
DarkHydrus – это вредная хакерская группа, которая заражает страны ближнего востока. Макрос загружает файловый документ .txt и приложение regsvr32.exe и внедряет файл c# в жертву компьютера.
Как только файл выполняется, он получает полезную нагрузку, дублированную как вредоносная программа RogueRobin, которая является полнофункциональным бэкдором, предоставляющий авторам угроз разнообразные функциональные возможности.
Это позволяет операторам DarkHydrus выполнять скрипты PowerShell таким образом, что он использует возможности PowerShell и добавляет функциональность, генерируя новые сценарии.
Перед выполнением любой функции он получает полезную нагрузку, называемую вредоносной программой RogueRobin, которая представляет собой полнофункциональный бэкдор, предоставляющий авторам угроз различные функции.
Он позволяет операторам DarkHydrus выполнять сценарии PowerShell таким образом, чтобы он использовал преимущества функций PowerShell и добавлял функции путем создания новых сценариев.
Перед выполнением каких-либо функций полезная нагрузка проверяет, выполняется ли она в сэндбокс. Если полезная нагрузка в сэндбокс не работает, она постоянно пытается установить себя в систему.
Полезная нагрузка взаимодействует с сервером контроля и управления, а затем внедряется и связывается с вредоносным ПО DarkHydrus. Вредоносная программа RogueRobin использует Google Drive в качестве канала контроля и управления, о котором мы расскажем позже в этой статье.
Что такое вредоносная программа RogueRobin?
Это троян высокого риска, который распространяется через электронные спам-сообщения и доставляет вредоносные вложения, такие как документы Microsoft Excel в компьютер жертвы.
После удачного введения, RogueRobin связывается с удаленным сервером, загружает несколько файлов и запускает огромное количество команд из этого файла. Кибермошенники или хакеры обычно получают удаленный доступ к системе и выполняют внутри различные действия без разрешения пользователя.
Вредоносная программа использует Google Drive как второй способ отправлять вредоносные инструкции через Туннельный канал DNS и активировать команду x_mode. Как только значения каждой переменной команды назначены, RogueRobin загружает файл на Google Drive.
Вредоносная программа постоянно использует туннельный канал DNS для общения на серверах контроля и управления. Он также многократно проверяет отладчики каждый раз, когда выполняет запрос DNS. Если отладчик идентифицирован, запрос генерирует шестнадцатеричный поддомен (676f6f646c75636b.gogle [.] Co), что означает «удача».
Чтобы оставаться в безопасности от атак трояна RogueRobin, вам следует узнать все возможные случаи, когда он разрушает ваш компьютер. Ниже перечислены признаки, обозначающие ранние симптомы, указывающие на опасность вирусной инфекции.
- Медленная производительность компьютера
- В вашем браузере появляются нерелевантные всплывающие уведомления
- Некоторые программы все равно продолжают работать, даже если вы их закрываете
- Файл самостоятельно дублирует себя
- Новые и неизвестные программы
- Отклоняет доступ к файлам и папкам
- Жесткий диск повреждается
- Заражает и удаляет резервные файлы
- Если атаки более серьезны, то отключение системы
- Изменяет файлы редактора реестра Windows
- Отключает настройки брэндмауэра и вводит в систему другие вредоносные угрозы
Все эти раздражающие изменения ставят ваш компьютер под огромный риск. Даже больше, подобные атаки вируса становятся больше с каждым днем с точки зрения сложности и легко зарекомендовали себя в качестве инструмента для виктимизации кибербезопасности.
Удалите файлы и программы, связанные с вредоносной программой
Каким-то образом это расширение браузера вошло в ваш компьютер и успешно проникло в уязвимости системы безопасности вашего компьютера. Существует высокая вероятность того, что расширение могло установить на компьютер другие вредоносные файлы и программы, не сообщая вам об этом.
Следовательно, описанные ниже шаги помогут вам удалить все нежелательные файлы и программы, которые вошли вместе с браузерным вирусом.
- Нажмите Ctrl + Shift + ESC, чтобы открыть диспетчер задач. Найдите подозрительные файлы, щелкните по нему правой кнопкой мыши и нажмите «Завершить задачу».
- Теперь нажмите клавишу Windows + R, чтобы открыть окно окна RUN. Введите appwiz.cpl, откроется окно «Программы и функции».
- Выберите все подозрительные программы и удалите их по одному. По завершении удаления перезагрузите компьютер и снова перейдите в окно «Программы и функции», чтобы проверить, присутствует ли еще приложение.
- Убедившись, нажмите клавишу Windows + R, чтобы открыть окно окна RUN. Напечатайте regedit на нем, нажмите «ОК», а затем «Да».
- Пройдите через файлы HKEY, HKLM и т.д. и найдите все подозрительные файлы и удалите их.
- Вы также можете удалить вредоносные расширения из своих браузеров.
Сброс настроек браузера
Хорошим вариантом является сброс настроек барузера, потому что он дает вам шанс удалить браузерный вирус Install.notify-service.com. Воспользуйтесь шагами, описанными ниже:
Сброс Google Chrome
- Нажмите на три точки в окне Chrome.
- Выберите Настройки, пролистайте вниз страницы и нажмите на Расширенные настройки.
- Снова пролистайте до конца, нажмите на Восстановите настройки до исходных значений данных по умолчанию > Сброс настроек.
Сброс Mozilla Firefox
- Откройет меню Firefox (в верхнем углу окна)
- Выберите Помощь > Информация по устранению неполадок > Обновить Firefox > Завершить
- Также вы можете попытаться Безопасный режим для отключения дополнения.
Процессы слишком длинные, ручные методы – это поэтапные методы, выполнение которых требует технических знаний и много времени. Поэтому мы предлагаем вам использовать средства компьютерной безопасности, которые могут предотвратить перенаправление расширений RogueRobin.
Мошенники очень продвинутые и научились получать нелегальный доступ к компьютеру. Более того, они делают свои вредоносные программы более адаптируемыми, отказоустойчивыми и разрушительными. С помощью обычного антивирусного программного обеспечения остановить кибервойну и кибертерроризм невозможно.
Таким образом, лучший метод предотвращения – обновить наши системы киберзащиты на домашних и офисных компьютерах с помощью тех инструментов кибербезопасности, которые обеспечивают функцию защиты в реальном времени, функцию карантина, веб-защиту и технологию защиты от эксплойтов.
Примечание: Мы рекомендуем ITL Total Security и Malware Crusher, лучшие среди известных антивирусных программ, которые помогут вам блокировать вирусы, рекламное ПО и другие вредоносные программы на вашем ПК. Он состоит из нескольких функций, чтобы защитить вашу систему от повреждений и сохранить вас в безопасности всегда. Они полностью загружены некоторыми полезными функциями, такими как защита в реальном времени, веб-защита, обновления в реальном времени и многое другое.
Советы по предотвращению заражения вашей системы всеми вирусами и вредоносными программами:
- Включите блокировщик всплывающих окон: Всплывающие окна и реклама являются наиболее часто используемой тактикой киберпреступников и разработчиков с намерением распространить вредоносные программы. Поэтому избегайте сомнительных сайтов, программных обеспечений, всплывающих окон и т.д. Установите мощный блокировщик рекламы для Chrome, Mozilla, и Internet Explorer.
- Не забывайте обновлять ваш Windows: чтобы избегать таких заражений, мы рекомендуем обновлять систему через автоматическое обновление Windows. Так ваша система может избегать заражений вирусами. Согласно опросу, устаревшие/ старые версии операционной системы Windows легче подвержены заражениям вирусами.
- Сторонняя установка: старайтесь избегать сайтов для скачивания бесплатных программных обеспечений, так как они обычно в комплекте устанавливают программное обеспечение с другими установками и файлами заглушки.
- Регулярное резервное копирование: регулярное и периодическое резервное копирование помогает вам держать ваши данные в безопасности в случае заражения вирусом или любым другим заражением. Таким образом, регулярно сохраняйте важные файлы на облачном диске или внешнем жестком диске.
- Всегда пользуйтесь антивирусом: Меры предосторожности всегда лучше, чем лечение последствий. Рекомендуем установить антивирус ITL Total Security или Malware Removal Tool например Download Virus RemovalTool
