Вымогательское ПО YourCyanide распространяется через ссылки в PasteBin, Discord и Microsoft Edge

Последние версии программ-вымогателей на базе CMD отличаются продуманностью и сложностью обнаружения, а также включают в свой набор функций кражу токенов и распространение червей. Новый вариант вымогательского ПО на базе CMD все еще находится в стадии разработки, но исследователи предупреждают, что опасное сочетание нескольких уровней обфускации и хитроумная интеграция вредоносных ссылок в легитимные сервисы делают его крайне серьезной угрозой.

YourCyanide восходит корнями к семейству программ-вымогателей GonnaCope, впервые обнаруженному в апреле, говорится в новом отчете группы поиска угроз Trend Micro. пишут Securitylab. Вредонос пока ничего не шифрует (хотя исследователи утверждают, что это произойдет в ближайшее время), но переименовывает все нужные файлы, крадет информацию и похищает токены доступа из Chrome, Discord и Microsoft Edge. Кроме того, он самораспространяется.

В отличие от предшественников, у YourCyanide есть несколько новых тактик:

• Использование ссылок PasteBin, Discord и Microsoft Edge для поэтапной развертки полезной нагрузки;
• Возможность скрываться за функцией Enable Delayed Expansion.

"Хотя YourCyanide и другие его варианты в настоящее время не так популярны, как другие семейства программ-вымогателей, он представляет собой интересную новинку в мире вымогательского ПО. Вредонос объединяет функции червя, программы-вымогателя и инфостилера в единую структуру вымогательского ПО среднего уровня", – говорится в отчете Trend Micro. "Также вероятно, что эти версии вымогательского ПО все еще находятся на стадии разработки. Поэтому нашей приоритетной задачей должны стать обнаружение и блокирование вредоносов семейства YourCyanide до того, как они смогут развиться дальше и нанести еще больший ущерб".

Напомним, не так давно специалисты Trend Micro обнаружили вредоносную кампанию Linux-вымогателя Cheerscrypt. Подобно другим известным вымогателям Cheerscrypt придерживается тактики двойного вымогательства – требует выкуп за восстановление зашифрованных файлов, угрожая в противном случае опубликовать похищенные у жертвы данные.