Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

AstraLocker 2.0 заражает пользователей через почтовые вложения

04/07/22

Исследователи компании ReversingLabs обнаружили, что программа-вымогатель AstraLocker получила обновление, которое позволяет злоумышленнику проводить быстрые атаки и запускать полезную нагрузку непосредственно из вложений электронной почты.

Приманкой AstraLocker 2.0 является документ Microsoft Word, который скрывает OLE-объект с полезной нагрузкой. Встроенный исполняемый файл использует имя файла «WordDocumentDOC.exe».

Для выполнения полезной нагрузки пользователю необходимо нажать «Выполнить» в диалоговом окне с предупреждением, которое появляется при открытии документа, что снижает шансы на успех для злоумышленника.

Также для исполняемого файла злоумышленник использует упаковщик SafeEngine Shielder v2.4.0.0, который является настолько старым, что реверс-инжиниринг практически невозможен.

По словам экспертов, вредоносная программа подготавливает систему к шифрованию с использованием алгоритма Curve25519. Подготовка включает в себя:

  • уничтожение процессов, которые могут помешать шифрованию;
  • удаление теневых копий томов, которые могут упростить для жертвы восстановление файлов;
  • остановку антивирусных служб;
  • очистку корзины.

content-img(159)

Согласно анализу кода, AstraLocker основан на утечке исходного кода Babuk , пишут в Securitylab. Кроме того, один из адресов Monero кошелька в записке о выкупе связан с операторами программы-вымогателя Chaos. Это может означать, что за обеими вредоносными программами стоят одни и те же операторы.

Темы:электронная почтавымогателиReversingLabs

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...