Безопасность
![Хакеры используют легитимную утилиту Windows для вредоносных действий](https://www.itinfo.media/wp-content/uploads/2024/02/16.jpg?x75360)
16 марта 2024 10:20
Автор: Федор Кравцов
Хакеры используют легитимную утилиту Windows для вредоносных действий
В сети появилась новая угроза, использующая легитимную утилиту совместимости программ для Windows от хакерской группы RedCurl.
Хакеры этой группы используют утилиту Windows «Program Compatibility Assistant» (PCA или pcalua.exe). Недавно стало известно о новой кампании RedCurl с использованием этого метода. Жертвы получают фишинговые письма с вложениями .ISO или .IMG. Эти файлы запускают многоступенчатый процесс, который использует cmd.exe для установки легитимной утилиты curl.
Все это маскирует вредоносную активность, поскольку curl выступает в качестве канала для передачи библиотек установщика (ms.dll или ps.dll).
«Помощник совместимости программ (pcalua.exe) — это легитимная служба Windows, предназначенная для обнаружения и устранения проблем со старыми программами. Злоумышленники могут использовать эту утилиту для выполнения команд и обхода защиты. В новой атаке, проанализированной здесь, злоумышленник использует этот инструмент, чтобы скрыть свои действия», — говорится в отчете Trend Micro.
Ранее стало известно, что в 2024 году появится новый механизм борьбы с атаками через QR-код. Подробнее об этом читайте в материале IT INFO MEDIA.