Хакеры используют легитимную утилиту Windows для вредоносных действий

В сети появилась новая угроза, использующая легитимную утилиту совместимости программ для Windows от хакерской группы RedCurl.

Хакеры этой группы используют утилиту Windows «Program Compatibility Assistant» (PCA или pcalua.exe). Недавно стало известно о новой кампании RedCurl с использованием этого метода. Жертвы получают фишинговые письма с вложениями .ISO или .IMG. Эти файлы запускают многоступенчатый процесс, который использует cmd.exe для установки легитимной утилиты curl.

Все это маскирует вредоносную активность, поскольку curl выступает в качестве канала для передачи библиотек установщика (ms.dll или ps.dll).

«Помощник совместимости программ (pcalua.exe) — это легитимная служба Windows, предназначенная для обнаружения и устранения проблем со старыми программами. Злоумышленники могут использовать эту утилиту для выполнения команд и обхода защиты. В новой атаке, проанализированной здесь, злоумышленник использует этот инструмент, чтобы скрыть свои действия», — говорится в отчете Trend Micro.

Ранее стало известно, что в 2024 году появится новый механизм борьбы с атаками через QR-код. Подробнее об этом читайте в материале IT INFO MEDIA.