Необходимость быть осторожными с Neptune RAT: вредоносным ПО для Windows через ссылки на YouTube и Telegram

Изображение: вредоносное ПО Neptune RAT затрагивает ПК с Windows.

Neptune RAT является одной из самых опасных вредоносных угроз, нацеленных на устройства Windows. Он использует такие сайты, как YouTube и Telegram, чтобы обойти Windows Defender и другие антивирусные инструменты. Его последствия включают блокировку файлов программами-вымогателями, кражу паролей и уничтожение основной загрузочной записи (MBR) Windows 11. Несмотря на его серьезность, защитить ваше устройство Windows от Neptune RAT удивительно просто.

Что делает Neptune RAT таким опасным

Вредоносное ПО Neptune RAT было впервые обнаружено компанией по безопасности Cyfirma. “RAT” в названии означает “троян удаленного доступа”. Это файл, который, будучи открыт, позволяет злоумышленнику управлять вашим компьютером издалека. Обычно Windows блокирует такие попытки. Для этого же и существуют антивирусные программы.

Однако Neptune RAT крайне хитроумен, скрывая свой вредоносный код с помощью арабских слов и эмодзи, проходя мимо вашего брандмауэра, Windows Defender и других антивирусных средств. Он даже понимает, используете ли вы виртуальную машину (VM). На стороне пользователя он вызывает две простые команды PowerShell для заражения вашего ПК:

irm (Invoke-RestMethod): загружает контент, такой как программное обеспечение, с веб-сайтов, таких как GitHub.
iex (Invoke-Expression): выполняет загруженные данные как скриптовую программу.

Загрузка программного обеспечения GitHub Desktop с помощью команды

В какой-то момент пакетный скрипт оказывается в ваших папках Windows. После этого ваш компьютер подключается к серверу злоумышленника.

Такое опасное и настойчивое вредоносное ПО не наблюдалось на Windows очень давно. Оно использует множество DLL файлов для нарушения работы вашей системы. Они могут заблокировать данные вашего ПК (вымогательство), украсть пароли из более чем 270 программ, таких как браузеры Chrome и Brave, захватить все, что вы копируете и вставляете, изменить настройки реестра и даже стереть вашу мастер-загрузочную запись (MBR).

Худшая часть? Neptune RAT в настоящее время распространяется через социальные сети: YouTube, GitHub, Telegram и другие ссылки. Большинство людей изначально доверяют YouTube, и этот доверие впервые было подорвано. Теперь хакерам очень легко разместить видео с сообщением: “Нажмите на ссылку под описанием видео, чтобы получить 500 долларов наличными”, а затем предоставить исполняемый файл Neptune RAT, который может быть замаскирован под обычный текст.

Решения для защиты от вредоносного ПО Neptune RAT

Опасности Neptune RAT множественны. Он проходит мимо каждого инструмента анализа вредоносного ПО и даже не требует загрузки файлов. Несмотря на огромную уязвимость, решения для пользователей Windows довольно просты.

Для пользователей Windows, знакомых с PowerShell

PowerShell использует функцию под названием “Режим ограниченного языка”, который ограничивает приложение выполнением только базовых задач. После задания команда больше не может получать доступ к веб-ресурсам с использованием irm и iex, тем самым блокируя Neptune RAT.

$ExecutionContext.SessionState.LanguageMode ="ConstrainedLanguage"

Чтобы принудить настройку ограниченного языка для всех пользователей вашего ПК, примените следующее:

Set-ExecutionPolicy-Scope LocalMachine -ExecutionPolicy Restricted -Force

Изменение PowerShell на настройку ограниченного языка, чтобы избежать веб-команд.

Чтобы отменить данную настройку, просто вернитесь в режим “Полного языка”, и вы сможете снова начать загружать команды irm и iex.

$ExecutionContext.SessionState.LanguageMode ="FullLanguage"

До тех пор, пока Windows не выпустит полноценное решение, лучше всего держать их отключенными.

Есть еще один вариант. Если вы не очень часто используете PowerShell, вы можете полностью отключить доступ PowerShell к Интернету. После этого, когда вы попытаетесь выполнить команды irm/iex, это вызовет ошибку в PowerShell.

New-NetFirewallRule -Name"BlockPowerShellOutbound"-DisplayName"Block PowerShell Outbound"-Enabled True -Direction Outbound -Program "%SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe"-Action Block

Блокировка всех исходящих сетевых подключений в PowerShell. команды

Чтобы удалить правило блокировки на уровне сети, используйте следующую команду:

Remove-NetFirewallRule -Name"BlockPowerShellOutbound"

Хотя отсутствие возможности использовать PowerShell для онлайн-активности является небольшой неудобством, с учетом серьезности угрозы Neptune RAT, я считаю это лучшим решением.

Для обычных пользователей

Если вы используете YouTube или Telegram на компьютере с Windows, вы можете остаться в безопасности от Neptune RAT, избегая нажатия на ссылки в описаниях видео – даже если создатели видео просят вас это сделать. Они могут предлагать скидки или обещать исправить проблемы с безопасностью. Такие ссылки часто встречаются в играх или видео по этичному взлому, но также могут встречаться в клипах фильмов или других темах. Вам следует прекратить нажимать на неизвестные ссылки, даже если их делятся друзья или семья в социальных сетях.

Другие рекомендации, которые мы можем предложить для обычных пользователей Windows, сталкивающихся с Neptune RAT:

Используйте приложение аутентификатора: на устройстве Windows приложение аутентификатора лучше всего защищает от злоумышленников, пытающихся получить доступ к важным учетным записям.
Используйте решения для безопасности на конечных точках: единственный способ обнаружить безфайловое вредоносное ПО, такое как Neptune RAT, – это использование программного обеспечения безопасности на конечных точках, такого как Microsoft Defender, которое отличается от Windows Security. Они гораздо лучше реагируют на подозрительную активность в PowerShell.