Кибербез без цензуры
Image

Кибербез без цензуры

Погружаемся в серые схемы и даркнет, чтобы показать вам изнанку цифрового мира без купюр и морали.

Что общего у IT-инструмента и вируса-вымогателя? Спойлер: одна очень подозрительная библиотека

leer en español

GoTo GoToResolve RstrtMgr.dll UltraAV Point Wild удаленный доступ нежелательное ПО
Что общего у IT-инструмента и вируса-вымогателя? Спойлер: одна очень подозрительная библиотека
GoTo GoToResolve RstrtMgr.dll UltraAV Point Wild удаленный доступ нежелательное ПО

Почему инструмент для помощи пользователям вдруг стал идеальным подарком для хакеров.

image

В ходе планового мониторинга систем специалисты компании Point Wild обнаружили потенциально нежелательное приложение, связанное с программой удалённого доступа GoTo Resolve. Несмотря на то, что данный инструмент предназначен для легитимного использования IT‑специалистами, его функциональность может быть использована в целях, представляющих угрозу безопасности.

Анализ показал, что исполняемый файл «GoToResolveUnattended.exe» принадлежит компоненту удалённого доступа GoTo Resolve Unattended Access, который позволяет подключаться к компьютерам без участия пользователя. При этом установка происходит без явного уведомления, а в процессе запуска создаются фоновые потоки. Программа регистрируется в системе на постоянной основе и размещается в папке по адресу «C:\Program Files (x86)\GoTo Resolve Unattended».

Хотя файл имеет цифровую подпись от компании GoTo Technologies USA, LLC, наличие подписи не исключает возможность злоупотребления в случае компрометации или использования в обход контроля. Подобные программы нередко становятся инструментом киберпреступников, которые могут использовать их для скрытого удалённого доступа, установки вредоносных модулей, рекламы или других действий без ведома владельца устройства.

Одним из тревожных сигналов стала загрузка динамической библиотеки «RstrtMgr.dll», ранее замеченной в кампаниях с применением вымогателей и программ-вайперов. Такие библиотеки позволяют завершать процессы, мешающие вредоносной активности, в том числе шифрованию данных. Присутствие этой библиотеки может указывать на попытку защититься от анализа или обеспечить контроль над заражённой системой.

В составе архива с исследуемым образцом также был обнаружен вспомогательный файл с инструкциями по установке и управлению программой. Это дополнительно подтверждает наличие механизма скрытой установки и повышает риск её несанкционированного использования.

Программа была распознана антивирусом UltraAV под обозначением HEURRemoteAdmin.GoToResolve.gen, что подтверждает её потенциальную опасность в корпоративных и пользовательских средах. Без надлежащего контроля такое ПО может значительно расширить поверхность атаки и стать точкой входа для других вредоносных компонентов.

Специалисты рекомендуют организациям использовать меры предотвращения, включая ограничение запуска сторонних приложений, постоянный мониторинг конечных точек и повышение осведомлённости сотрудников о рисках, связанных с инструментами удалённого доступа. В случае выявления подобных программ без официального разрешения рекомендуется их немедленно удалить.