Команда VMRay активно отслеживает изменения в киберугрозах и в ноябре 2024 года представила ряд обновлений, направленных на улучшение защиты от вредоносного ПО. Одним из ключевых нововведений стали новые VMRay Threat Identifiers (VTIs), которые помогают выявлять подозрительное поведение программ. Эти идентификаторы оценивают уровень угрозы по шкале от 1 до 5, где 5 — это наивысший уровень опасности.
Среди новых VTIs можно выделить:
1. Обнаружение клонирования процессов через vfork(): Этот системный вызов в UNIX-подобных системах может использоваться вредоносными программами для минимизации следов своего присутствия. Новый VTI позволяет выявлять такие попытки.
2. Использование параметра командной строки PowerShell -NoProfile: Этот параметр позволяет злоумышленникам ускорять выполнение команд, избегая загрузки пользовательских настроек, что делает их действия менее заметными.
3. Обнаружение обфусцированных входных данных в macOS osascript: Новый VTI отслеживает подозрительное использование osascript, особенно когда передаются закодированные строки, что часто указывает на попытки скрыть истинные намерения скриптов.
Кроме того, VMRay усилила защиту от фишинга, связанного с поддельными уведомлениями о голосовых сообщениях. Злоумышленники используют фальшивые интерфейсы, чтобы обманом заставить пользователей вводить свои учетные данные на поддельных страницах входа. Для борьбы с этой угрозой была улучшена функциональность Web Engine Auto UI, которая теперь может автоматически взаимодействовать с такими элементами, как поддельные кнопки воспроизведения.
Также были добавлены новые YARA-правила для обнаружения различных угроз, включая DCRat, Phorpiex и уязвимые драйверы. Эти правила помогут быстрее идентифицировать и блокировать вредоносные программы, прежде чем они смогут нанести ущерб.
VMRay продолжает развивать свои инструменты и технологии, чтобы обеспечить надежную защиту от постоянно эволюционирующих киберугроз. Следите за обновлениями и оставайтесь в безопасности!