Хакеры начали использовать легитимную утилиту Windows для вредоносных действий
Хакеры из этой группировки используют утилиту Windows «Помощник по совместимости программ» (PCA, или pcalua.exe). Недавно стало известно о новой кампании RedCurl с применением этого метода, в рамках которого жертвы получали фишинговые письма, к которым прикреплены вложения в форматах .ISO и .IMG. Эти файлы запускали многоступенчатый процесс, при котором используются cmd.exe для загрузки легитимной утилиты curl.
Всё это позволяет скрыть вредоносную активность, так как curl выступал в качестве канала для передачи библиотеки лоадера (ms.dll или ps.dll).
«Помощник по совместимости программ (pcalua.exe) является легитимной службой Windows, предназначенной для выявления и решения проблем в работе старых программ. Злоумышленники могут использовать эту утилиту для выполнения команд и обхода защиты. В проанализированных новых атаках операторы задействуют этот инструмент для сокрытия своих действий», — сказано в отчёте Trend Micro.