Хакеры маскируют троян под JPEG: новая угроза для Windows

Специалисты по кибербезопасности из компании Cyfirma обнаружили новую схему атаки на Windows-системы. Злоумышленники отправляют жертвам фишинговые письма с файлом sysupdate.jpeg. Письмо может выглядеть как уведомление об обновлении программного обеспечения или ссылка для обмена файлами. Несмотря на расширение .jpeg, внутри файла нет графических данных — только вредоносный PowerShell-скрипт.

Как работает атака Operation SilentCanvas

После того как жертва запускает файл, скрипт создает промежуточную среду и загружает с серверов злоумышленников дополнительные компоненты. Среди них — троянизированная версия ConnectWise ScreenConnect, легального инструмента для удаленного доступа, который часто применяется в корпоративных сетях. Эта версия позволяет хакерам получить скрытый контроль над зараженным компьютером, при этом внешне программа выглядит как обычное доверенное ПО.

Получив контроль, злоумышленники могут следить за экраном и микрофоном, записывать видео, передавать файлы через зашифрованный канал. Главная опасность в том, что вредоносная программа умеет обходить большинство антивирусов, оставаясь незамеченной.

Как распознать угрозу

Исследователи отмечают, что обнаружить атаку можно по косвенным признакам. Например, пользователя должно насторожить появление в системе программы удаленного доступа, которую он не устанавливал. Также подозрительны неожиданные запуски системных процессов csc.exe, cvtres.exe и ComputerDefaults.exe. Однако рядовому пользователю заметить такие аномалии сложно.

Эксперты советуют проявлять особую осторожность при получении неожиданных писем с вложениями, даже если они выглядят как безобидные изображения. Регулярное обновление антивирусных баз и использование средств защиты от фишинга остаются основными способами предотвращения подобных атак.