Методика, применяющаяся злоумышленниками, основана на хранении в журнале событий Windows зашифрованного shell-кода — набора машинных команд, позволяющего получить доступ к командному интерпретатору ОС и выполнить вредоносный код. При этом за первичное заражение системы отвечают исполняемые файлы из RAR-архива, скачиваемого жертвой. Некоторые файлы для повышения доверия к ним подписаны цифровым сертификатом. Заканчивается эта цепочка сразу несколькими троянцами для удалённого управления заражёнными устройствами.
Для защиты программного обеспечения мы рекомендуем установить специализированные программные решения, такие как, например, DLP-системы, которые могут помочь выявить и оперативно сообщить о нарушениях команде информационной безопасности компании. Также стоит организовать серию тренингов для сотрудников компании, чтобы улучшить осведомлённость работников о данных типах атак. Ещё необходимо разработать план быстрого реагирования на подобные инциденты, определить ответственного человека за оповещение руководства и отделов.
