Хакеры начали использовать новый метод сокрытия вредоносного кода HCrypt

Новый механизм сокрытия вредоносной нагрузки от антивирусов выявили специалисты японской компании Trend Micro, информация опубликована 20 сентября в блоге компании.

Специалисты Trend Micro выявили прецеденты эксплуатации новой версии инструмента обфускации (сокрытия) вредоносной нагрузки HCrypt 7.8. Обфускатор кода HCrypt предоставляется в среде киберпреступности по схеме программное обеспечение (ПО) как услуга и дает возможность загружать и выполнять вредоносное ПО без его обнаружения системами защиты.

В Trend Micro назвали новую кампанию с применением HCrypt 7.8 Water Basilisk. Пика активности она достигла в августе 2021 года. Обфускации подвергалось вредоносное ПО типа троян удаленного доступа (RAT).

HCrypt представляет собой два сценария. Первый, написанный на VBScript применяется для загрузки шифрованного вредоносного кода. После загрузки кода применяется второй сценарий на Microsoft PowerShell. Он расшифровывает и собирает вредоносную нагрузку, причем не в виде файлов на диске, а разворачивает ее в оперативную память компьютера.

Применение такой многоступенчатой защиты позволяет избежать своевременного обнаружения антивирусными средствами.

В кампании Water Basilisk загрузчик HCrypt 7.8 для конкретного вредоносного ПО распространялся в установочных файлах образов ISO, загружаемых на публичные хранилища Transfer.sh, Internet Archive и другие под видом нужных людям программ.

Запуск образа приводит сначала к загрузке зашифрованного вредоносного вложения и сценария на PowerShell. В дальнейшем нагрузка распаковывается в оперативную память устройства и компьютер подвергается заражению.