Microsoft Threat Intelligence сообщила о распространении троянских программ через популярные игровые утилиты, такие как Xeno.exe и RobloxPlayerBeta.exe. Эти программы действуют как загрузчики для установки удаленного доступа RAT на Windows.
Методы распространения и действия
Первоначальный загрузчик устанавливает портативную Java Runtime и запускает jd-gui.jar. Затем с помощью PowerShell и доверенных бинарных файлов Windows, таких как cmstp.exe (LOLBins), загружается полезная нагрузка, сохраняемая как update.exe с доменов, включая powercatdog и PythonAnywhere. Вредоносное ПО удаляет следы оригинального загрузчика, добавляет исключения в Microsoft Defender для вредоносных файлов и устанавливает постоянство через запланированные задачи и скрипт автозагрузки world.vbs.
Рекомендации по безопасности
Microsoft Defender уже обнаруживает это вредоносное ПО и его поведенческие паттерны. Однако организациям рекомендуется мониторить исходящий трафик, блокировать указанные домены и IP-адреса, а также проверять или удалять подозрительные исключения в Defender, запланированные задачи и скрипты автозагрузки. Пользователям следует избегать загрузки или запуска неофициальных игровых инструментов, распространяемых в чатах или на форумах.
