01/12/23
Исследователи безопасности компании Cybereason обнаружили новый вариант вымогательского ПО «DJVU», который распространяется под видом бесплатного программного обеспечения. Это передаёт Securitylab.
По словам эксперта безопасности Ральфа Виллануэвы, злоумышленники используют уже известную схему атаки, однако на этот раз речь идёт о вариации DJVU, добавляющем к зашифрованным файлам расширение «.xaro», в связи с чем исследователи и дали вредоносу название «Xaro».
Сама по себе программа DJVU является разновидностью вымогательского софта STОP и часто поставляется в наборе с инфостилерами, такими как RedLine Stealer и Vidаr, что делает атаки DJVU особенно разрушительными.
В последней зафиксированной атаке вредоносный архив маскировался под сайт со свободно распространяемым ПО. Запуск файла приводил к установке PrivateLoader — загрузчика вредоносов, который связывается с C2-сервером злоумышленников и загружает оттуда RedLine Stealer, Vidаr, ХMRig и другие вредоносные программы.
По словам исследователей, основной целью злоумышленников является сбор конфиденциальных данных и вымогательство, а сам вредонос Xaro рассчитан скорее на обычных пользователей, нежели на организации. Всё потому, что сумма выкупа весьма демократичная — $980, а при оплате в течение 72 часов она снижается до $490. Прямо как с автомобильными штрафами.
Однако и для корпоративных сетей данное вымогательское ПО может представлять весьма реальную угрозу, так как скорость и масштабы распространения на заражённых машинах не оставляет шансов на сохранность информации.
Злоумышленники часто используют маскировку под бесплатное ПО для скрытной установки вредоносного кода, поэтому стоит проявлять особую бдительность при скачивании подобных программ.
Всегда стоит тщательно проверять сайт с необходимым ПО на легитимность, а также использовать надёжные антивирусные решения, которые в случае необходимости смогут перехватить угрозу. Регулярное обновление ПО и резервное копирование информации так же значительно повысят шанс отделаться лёгким испугом.
