Исследователи из Qualys Threat Research Unit зафиксировали новую волну кибератак, где злоумышленники используют сочетание PowerShell и LNK-файлов для незаметной установки Remcos RAT на компьютерные системы. Данный метод позволяет злоумышленникам получить полный удаленный контроль и осуществлять скрытое наблюдение за зараженными системами.
Методика проведения атаки
Злоумышленники используют ZIP-архивы, содержащие LNK-файлы, которые запускают PowerShell скрипты. Этот подход позволяет обходить многие традиционные антивирусные программы, так как вредоносное ПО выполняется непосредственно в памяти компьютера, не оставляя следов на жестких дисках. Пользователи часто недооценивают угрозу, исходящую от LNK-файлов, считая их безобидными ярлыками.
Уязвимости и защита
Вредоносное ПО, такое как Remcos RAT, предоставляет злоумышленнику возможность полностью контролировать систему, включая возможность шпионажа и кражи данных. Эксперты в области безопасности рекомендуют пользователям включить журналирование PowerShell и мониторинг AMSI для обнаружения подозрительных действий.
- Активируйте журналирование PowerShell и AMSI мониторинг.
- Используйте мощные решения EDR для защиты.
- Никогда не открывайте подозрительные ZIP-архивы или LNK-файлы без проверки.
Современные решения, такие как системы EDR, обеспечивают более высокую степень защиты, помогают оперативно выявлять и блокировать угрозы, прежде чем они смогут нанести ущерб. Безопасность остается приоритетом как для бизнеса, так и для обычных пользователей, и регулярное обновление систем безопасности может существенно снизить риск атак.
Эксперты также рекомендуют регулярно обновлять решения по киберзащите и осведомлять сотрудников об угрозе, исходящей от кибератак, чтобы минимизировать риски заражения.
