Хакеры начали использовать легитимную утилиту Windows для вредоносных действий

В Сети появилась новая угроза, исходящая от хакерской группировки RedCurl, использующей легитимную утилиту Windows для совместимости ПО.

Хакеры из этой группировки используют утилиту Windows «Помощник по совместимости программ» (PCA, или pcalua.exe). Недавно стало известно о новой кампании RedCurl с применением этого метода, в рамках которого жертвы получали фишинговые письма, к которым прикреплены вложения в форматах .ISO и .IMG. Эти файлы запускали многоступенчатый процесс, при котором используются cmd.exe для загрузки легитимной утилиты curl.

Всё это позволяет скрыть вредоносную активность, так как curl выступал в качестве канала для передачи библиотеки лоадера (ms.dll или ps.dll).

«Помощник по совместимости программ (pcalua.exe) является легитимной службой Windows, предназначенной для выявления и решения проблем в работе старых программ. Злоумышленники могут использовать эту утилиту для выполнения команд и обхода защиты. В проанализированных новых атаках операторы задействуют этот инструмент для сокрытия своих действий», — сказано в отчёте Trend Micro.