Виявлено нові деталі про ботнет Andromeda (також відомий як Gamarue), який залишається одним із найпоширеніших інструментів кіберзлочинців. Ця модульна шкідлива програма, вперше зафіксована у 2011 році, використовує складні методи для уникнення виявлення та доставки додаткових шкідливих програм.

Що відомо? Аналіз, проведений у 2016 році, показав, що Andromeda використовує спеціальний пакувальник для приховування шкідливого коду. Висока ентропія секції .rsrc (7.376) вказує на пакування, а використання бібліотеки ws2_32.dll свідчить про початок комунікації після розпакування. Код застосовує техніку RunPE: розпаковує виконуваний файл у пам’яті, створює призупинений процес, замінює його вміст і запускає шкідливий код. Це дозволяє обходити антивіруси та пісочниці.

Andromeda також використовує анти-аналітичні методи, такі як перевірка на наявність дебагерів та віртуальних машин, що ускладнює аналіз. Вона може доставляти різноманітні шкідливі модулі, включаючи кейлогери, руткіти та інструменти для викрадення даних, що робить її універсальним інструментом для атак.

Як захиститися?

-Використовуйте інструменти моніторингу вразливостей, такі як Morphisec AMTD, для захисту в реальному часі.
-Регулярно оновлюйте антивірусне ПЗ та операційну систему.
-Уникайте підозрілих email-вкладень та посилань, які можуть вести до експлойт-кітів.
-Перевірте журнали мережі на підозрілі підключення до C2-серверів.
-Увімкніть двофакторну автентифікацію (2FA) для всіх облікових записів.

Цей випадок демонструє, як хакери вдосконалюють свої методи, використовуючи довіру до легітимних процесів. Захист від таких загроз вимагає пильності та сучасних рішень безпеки. Залишайтеся обережними!