Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Новое вымогательское ПО маскируется под обновление Google

13/07/22

hack112-2

Новая программа-вымогатель распространяется как поддельное обновление ПО Google и использует возможности Microsoft как часть своей атаки. Исследователи из Trend Micro обнаружили пакет программ-вымогателей HavanaCrypt, который представляет собой обновление ПО Google.

Вредоносное ПО использует open-source обфускатор Obfuscar, предназначенный для защиты кода в сборке .NET. Для избежания обнаружения после запуска программа-вымогатель скрывает свое окно с помощью функции ShowWindow, присваивая ей параметр «0».

«Вредоносная программа также использует несколько методов защиты от виртуализации, которые помогают избежать динамического анализа при выполнении на виртуальной машине», — пишут исследователи.

По словам специалистов, вредоносное ПО может завершить свою работу, если обнаружит, что система работает в виртуальной среде. HavanaCrypt проверяет виртуальную машину в 4 этапа:

  • проверяет службы в виртуальной машине (VMware Tools и vmmouse);
  • ищет файлы, связанные с приложениями ВМ;
  • ищет имена файлов, используемых ВМ для их исполняемых файлов;
  • просматривает MAC-адрес системы и сравнивает его с префиксами уникального идентификатора организации (Organizationally Unique Identifier, OUI), используемыми ВМ.

Убедившись, что система жертвы не работает на виртуальной машине, HavanaCrypt загружает файл с IP-адреса службы веб-хостинга Microsoft, сохраняет его как пакетный файл и запускает. По словам специалистов Trend Micro, использование C2 сервера, входящего в состав службы веб-хостинга Microsoft, является новым методом атаки.

Вредоносная программа прерывает более 80 процессов, включая приложения баз данных, таких как Microsoft SQL Server и MySQL, а также настольных программ, таких как Office и Steam. Затем он удаляет теневые копии файлов.

Затем HavanaCrypt помещает свои исполняемые копии в папки «ProgramData» и «StartUp», делает их скрытыми системными файлами и отключает диспетчер задач. Вредоносное ПО также использует функцию QueueUserWorkItem в .NET, чтобы объединить угрозы для других полезных нагрузок и потоков шифрования.

HavanaCrypt собирает следующую информацию о системе:

  • количество ядер процессора;
  • идентификатор и название чипа;
  • производитель и название материнской платы;
  • номер продукта и версия BIOS.

Данные отправляются на C2 сервер злоумышленника, который является IP-адресом службы веб-хостинга Microsoft. Это позволяет избежать обнаружения. Для генерации случайных ключей HavanaCrypt использует функцию CryptoRandom в менеджере паролей KeePass Password Safe, добавляя расширение «.Havana» ​​к зашифрованным файлам. 

«HavanaCrypt также шифрует текстовый файл «foo.txt» и не оставляет записку с требованием выкупа. Это может указывать на то, что HavanaCrypt все еще находится в стадии разработки», - заключили исследователи.

Темы:GoogleTrend MicroВымогатели
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...