Systemstandard
Ljus
Mörk
Författare
SOC @ Asurgent
Read time
2 min
19 mars 2025
En ny malware-kampanj, kallad OBSCURE#BAT, har nyligen uppmärksammats och kan utgöra ett allvarligt hot mot organisationer. Malwaret använder dolda batchfiler och PowerShell-skript för att installera ett rootkit, benämnt "r77", som gör det möjligt att dölja filer, registerinställningar och processer från vanliga säkerhetsprogram. Detta gör det betydligt svårare att upptäcka.
Vad är API hooking?
API hooking är en teknik där malware eller skadlig kod manipulerar eller modifierar ett programs funktioner, eller API-anrop, för att dölja sin närvaro eller förändra hur ett program fungerar. API:er (Application Programming Interfaces) är en funktion som möjliggör kommunikation mellan olika program. När ett program gör ett API-anrop kan malware "avlyssna" detta anrop för att modifiera dess beteende eller blockera det, vilket förhindrar att säkerhetsprogram upptäcker den skadliga aktiviteten.
Hur går det till?
Angreppet börjar ofta med “socialengineering” eller "phising" där användare luras att klicka på falska uppdateringar eller captcha-formulär som i själva verket är skadliga skript. När malwaret väl är installerat utnyttjar det en teknik som kallas API hooking, vilket gör att det kan gömma sig och undvika att bli upptäckt av traditionella säkerhetsprogram(antivirus).
Den här typen av attack visar hur hackare blir allt mer sofistikerade och använder nya metoder för att dölja sina spår. Därför är det extra viktigt att ha flera lager av säkerhet, som t.ex. avancerade övervakningsverktyg för att skydda sig mot skadlig kod.
Inriktning:
OBSCURE#BAT riktar sig ofta mot större företag eller organisationer som har värdefulla data eller ekonomiska resurser. För att skydda sig mot den här typen av hot rekommenderas det att vara extra försiktig med misstänkta nedladdningar och alltid hålla säkerhetsprogrammen uppdaterade. Genom att vara extra vaksam och använda rätt skydd kan företag bättre försvara sig mot denna typ av avancerad malware.
Hur skyddar man sig ?
Håll System och Program Uppdaterade: Se till att operativsystemet och alla program är uppdaterade med de senaste säkerhetspatcharna.
Avancerade Säkerhetslösningar: Vanliga antivirusprogram kan ha svårt att upptäcka denna typ av avancerad malware. Det är viktigt att implementera avancerade lösningar som EDR och SIEM verktyg.
Vaksam vid nedladdningar: Undvik att öppna bilagor eller klicka på länkar från okända eller misstänkta källor. Malware sprids ofta genom phishing-attacker.
Utbilda Användare: Eftersom social engineering är en stor del av attackkedjan, är det också viktigt att utbilda användare om riskerna med phishing och andra former av bedrägeri.
Prenumerera på vårt cybersäkerhetsnyhetsbrev för att ha koll på senaste nytt inom cyberfären.
