Egy nagyon összetett támadást lepleztek le a Kaspersky kutatói: a hackerek a Windows eseménynaplóit használták fel rosszindulatú kódjaik elrejtésére.
A Windows eseménynaplója igen hasznos eszköz az operációs rendszer hibáinak feltárása során, ugyanis megjeleníti az alkalmazás- és rendszerüzenetek naplóját, benne a hibákkal, figyelmeztetésekkel. Egy új, összetett támadás során, amelyre a Kaspersky kutatói figyeltek fel, éppen ezt az eseménynaplót használták fel alantas céljaikra hackerek.
A Kaspersky – írja a Bleeping Computer – részletes elemzést közölt egy összetett támadásról, amely tavaly ősszel kezdődött. Különféle technikák és szoftverek kombinációját foglalta magában, de a Kaspersky biztonsági kutatói újdonságként emelték ki a Windows eseménynaplóinak használatát. A hacker kampány egyik szakaszában a támadó shellkódot szúrt be a célpont Windows eseménynaplójába. A rosszindulatú programok tárolásának ez a módszere azért is veszélyes, mert nem hagy a víruskeresők számára észlelhető fájlokat.
A Kaspersky vizsgálata feltárta, hogy a malware egy „célzott” kampány része volt, és számos kereskedelmi forgalomban kapható és egyedi eszközre támaszkodott. A támadás egyedisége azt jelzi, hogy egy adott célrendszerre szabták. Az első lépés a „social engineering” volt, amelynek során a támadó meggyőzte az áldozatot, hogy töltsön le és futtasson egy .rar fájlt a file.io legitim fájlmegosztó webhelyről.
A Kaspersky nem tudta összekapcsolni a támadást egyetlen ismert gyanúsítottal sem, és nem tudta meghatározni annak végső célját. A kutatók azonban elmondták a támadást részletesen leíró BleepingComputernek, hogy a hasonló támadások célja általában értékes adatok megszerzése a célpontjaiktól. A kutatók egyelőre SilentBreak néven követik az új tevékenységet, a támadás során leggyakrabban használt eszköz neve után.