0 |
Эксперты компании Intzer и подразделения IBM X-Force IRIS team обнаружили шифровальщика PureLocker, имеющего ряд нетипичных для программ подобного рода особенностей. Прежде всего, он атакует корпоративные серверы под управлением Windows и Linux.
Написан вирус на не самом популярном языке программирования PureBasic. С одной стороны он кросс-платформенный, с другой, как ни странно, многие антивирусы с трудом справляются с написанными на нем программами.
К нетипичным для шифровальщикам особенностям исследователи отнесли также его механизмы противодействия обнаружению. Например, этот вредонос пытается избежать перехвата функций API функций NTDLL посредством скачивания другой копии ntdll.dll и разрешения API-адресов из нее. Перехват API позволяет антивирусным системам видеть, что именно делает каждая функция, которую вызывает программа, когда и с какими параметрами. Исследователи отметили, что это распространенная методика ухода от обнаружения, но шифровальщики ею пользуются весьма редко.
Кроме того, зловред вызывает утилиту Windows regsrv32.exe для «тихой» установки библиотечного компонента PureLocker – никаких диалоговых окон пользователю не выводится.
Позднее шифровальщик проверяет, что действительно был произведен запуск regsrv32.exe, что файловое расширение – .dll Или .ocx; кроме того, он проверяет, установлен ли на машине 2019 г. и наличие административных прав у жертвы. Если хоть одно условие не выполнено, вредонос деактивируется и не производит никаких действий.
По мнению экспертов, такое поведение нетипично для шифровальщиков, которые обычно не проявляют особой избирательности; наоборот, они стремятся заразить как можно больше машин.
Если же шифровальщика «все устраивает», он начинает зашифровывать файлы на машине жертвы, используя комбинацию алгоритмов AES+RSA, используя вшитый в него RSA-ключ. Все зашифрованные файлы снабжаются расширением .CR1, а оригинальные файлы уничтожаются. Оставив сообщение с требованием выкупа, файл шифровальщика самоуничтожается.
Здесь еще одна неожиданность: в сообщении от злоумышленников сумма выкупа не называется. Каждой жертве предлагается написать на уникальный адрес в сервисе защищенной почты Proton – с целью переговоров.
Эксперты считают, что PureLocker – это лишь один этап комплексной цепочки заражения.
При анализе кода исследователи обнаружили в коде PureLocker заимствования из кода бэкдора more_eggs, который в даркнете предлагается в формате MaaS (вредонос-как-услуга). Им активно пользуются финансовые киберкриминальные группировки Cobalt Group и FIN6.
Заимствования в коде, указывающие на связь с Cobalt Group, относятся к конкретному компоненту, которым Cobalt пользуются при своих многоступенчатых атаках, – DLL-дропперу, используемому для защиты от обнаружения и анализа. Эксперты считают, что разработчик more_eggs добавил новый набор вредоносных программ к арсеналу, который предлагается другим киберпреступным группировкам, снабдив прежний бэкдор функциональностью шифровальщика.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |