Eseménynaplók kihasználása
A Kaspersky kutatói egy olyan rosszindulatú kampányt fedeztek fel, amely eddig nem alkalmaztak a fileless támadások során. A rosszindulatú shellkódokat a Windows eseménynaplóban rejtik el a támadók.
A kutatók februárban fedezték fel a kampányt, de az elmúlt hónapban egy gyakrabban használták ezt az technikát a még ismeretlen elkövetők.
A támadás első szakaszában egy valós weboldalra irányítják a célba vett felhasználókat, és egy tömörített .RAR fájl letöltésére csábítják, amelyen a Cobalt Strike és a SilentBreak eszközök fogadják a felhasználót. Mindkét eszköz népszerű a hackerek körében, akik arra használják, hogy shellkódot küldjenek a látogatókra. Ezután a támadók a Cobalt Strike és a SilentBreak segítségével kódot szúrhatnak be a Windows rendszerfolyamataiba vagy megbízható alkalmazásokba, például a DLP-be.