a
b
c
d
FindNews.ru - новости, последние события, хроники.
Машины сломались из-за высокого атмосферного давления. Что?
Сегодня, 12:07
Экс-глава АвтоВАЗа выразил уверенность в возвращении ушедших брендов
Сегодня, 12:06
Обзор VW Touareg: плюсы и минусы, комплектации, фото
Сегодня, 12:06
Путину озвучили планы по сборке машин на бывшем заводе Volkswagen
Сегодня, 12:06
Новый кроссовер Xiaomi заметили на улице до премьеры. Первые «живые» фото
Сегодня, 12:06
Несколько российских регионов предупредили о погодной опасности
Сегодня, 10:45
Ефимов: 897 старых домов полностью расселили благодаря программе реновации
Сегодня, 10:45
Трамп увидел предпосылки хороших отношений с Россией для окончания конфликта
Сегодня, 08:36
«Авито Услуги»: бум на услуги по созданию инфографики для маркетплейсов: рост спроса более чем в 20 раз
Сегодня, 08:15
ERA Capital инвестирует 1,5 млрд руб. в разработчика и производителя IoT-систем Rubetek
Сегодня, 08:15

Хакеры использовали Ars Technica и Vimeo для доставки вредоносного ПО

Компания Mandiant, занимающаяся аналитикой безопасности, недавно обнаружила цепочку атак, которая использовала кодировку Base 64 на веб-сайтах Ars Technica и видеохостинг Vimeo для доставки второго этапа трехэтапного вредоносного ПО.

атака

Пользователь разместил фотографию пиццы на форуме Ars Technica с подписью «Мне нравится пицца». В изображении или тексте не было ничего неправильного. Однако фотография, размещенная на стороннем веб-сайте, содержала URL-адрес с Base 64. Base 64, преобразованная в ASCII, выглядит как случайные символы, но в данном случае она запутывала двоичные инструкции для загрузки и установки второго этапа пакета вредоносного ПО. В другом случае идентичная строка появилась в описании безобидного в остальном видео на Vimeo.

Mandiant заявила, что идентифицировала код как принадлежащий субъекту, который отслеживался с 2020 года. Код работает только на устройствах, которые уже содержат первую стадию вредоносного ПО. Первая стадия распространяется через зараженные флэш-накопители, настроенные для ссылки на файл, размещенный на GitHub и GitLab.

Второй этап, получивший название Emptyspace, представляет собой текстовый файл, который в браузерах и текстовых редакторах выглядит пустым. Однако при открытии его в шестнадцатеричном редакторе обнаруживается двоичный файл, который использует схему кодирования пробелов, табуляции и новых строк для создания исполняемого двоичного кода. Mandiant признает, что никогда раньше не сталкивались с таким методом.

Подписывайтесь на наш Telegram Читать

Техника - другие новости