Zloupotreba MSBuild-a potpomaže neprimetne fileless upade u Windows
Tekst opisuje kako napadači koriste Microsoft-ov potpisani alat MSBuild.exe kao LOLBin za pokretanje zlonamernog koda bez klasičnog malware fajla na disku. Navodi se da MSBuild može da izvršava ugrađeni C# kod iz project fajlova, obavlja mrežnu komunikaciju i pokreće dodatne payload-e, što ga čini pogodnim za tihe fileless upade. Kao praktičan primer pominje se phishing kampanja iz februara 2026. u kojoj je MSBuild korišćen kao downloader za PlugX, uz kombinaciju sa DLL sideloading tehnikom i legitimno potpisanim izvršnim fajlovima.
Ovakva tehnika je nezgodna zato što napadač ne mora da unese očigledan malware proces, već zloupotrebljava alat koji je već prisutan i kome okruženje često veruje. Za odbranu to znači da potpisan proces i čist naziv fajla više nisu dovoljni signal da je sve u redu.
- Pratiti pokretanje MSBuild.exe na korisničkim računarima gde razvojni alati nisu očekivani
- Blokirati ili strogo ograničiti izvršavanje .csproj i sličnih project fajlova iz privitaka, arhiva i temp direktorijuma
- Pojačati nadzor nad DLL sideloading obrascima i legitimnim procesima koji učitavaju DLL iz sopstvenog foldera
- Uvesti pravila za detekciju mrežne komunikacije i child procesa koje pokreće MSBuild.exe
- Obučiti korisnike da ne otvaraju arhive i navodne dokumente koji sadrže izvršne fajlove ili razvojne projekte