Виявлено нову кампанію, яка використовує шахрайські пакети ПЗ для доставки шкідливих DLL, що призводять до розгортання криптомайнерів і шпигунських програм.

Як це працює?

-Атака починається з завантаження шахрайського пакета (наприклад, плагіни для DVD чи браузерів) у форматі ZIP.
-Підписаний додаток CrystalBit/AnyToIso запускає шкідливу msimg32.dll, яка записує файли в приховану теку %windir%/SysWOW64/Speech/Engines/.
-Шкідлива AppleVersions.dll розгортається через APSDaemon.exe, забезпечуючи персистентність через заплановані завдання (GoogleUpdateTask).
-Використовується кастомний шелкод із Fowler–Noll–Vo hash для обходу антивірусів.

Що загрожує? Майнінг криптовалюти, викрадення даних і персистентність у системі.

Як захиститися?

-Уникайте завантаження ПЗ із ненадійних джерел.
-Перевіряйте цифрові підписи додатків і бібліотек.
-Обмежте доступ до прихованих тек і запланованих завдань.
-Оновлюйте антивірусне ПЗ та слідкуйте за системними процесами.

DLL Hijack атаки стають більш витонченими. Захищайте свої системи!