Бесплатно Экспресс-аудит сайта:

13.07.2022

Новое вымогательское ПО маскируется под обновление Google

Новая программа-вымогатель распространяется как поддельное обновление ПО Google и использует возможности Microsoft как часть своей атаки. Исследователи из Trend Micro обнаружили пакет программ-вымогателей HavanaCrypt, который представляет собой обновление ПО Google. Вредоносное ПО использует open-source обфускатор Obfuscar, предназначенный для защиты кода в сборке .NET. Для избежания обнаружения после запуска программа-вымогатель скрывает свое окно с помощью функции ShowWindow, присваивая ей параметр «0».

«Вредоносная программа также использует несколько методов защиты от виртуализации, которые помогают избежать динамического анализа при выполнении на виртуальной машине», — пишут исследователи.

По словам специалистов, вредоносное ПО может завершить свою работу, если обнаружит, что система работает в виртуальной среде. HavanaCrypt проверяет виртуальную машину в 4 этапа:

  • проверяет службы в виртуальной машине (VMware Tools и vmmouse);
  • ищет файлы, связанные с приложениями ВМ;
  • ищет имена файлов, используемых ВМ для их исполняемых файлов;
  • просматривает MAC-адрес системы и сравнивает его с префиксами уникального идентификатора организации (Organizationally Unique Identifier, OUI), используемыми ВМ.

Убедившись, что система жертвы не работает на виртуальной машине, HavanaCrypt загружает файл с IP-адреса службы веб-хостинга Microsoft, сохраняет его как пакетный файл и запускает. По словам специалистов Trend Micro, использование C2 сервера, входящего в состав службы веб-хостинга Microsoft, является новым методом атаки.

Вредоносная программа прерывает более 80 процессов, включая приложения баз данных, таких как Microsoft SQL Server и MySQL, а также настольных программ, таких как Office и Steam. Затем он удаляет теневые копии файлов.

Затем HavanaCrypt помещает свои исполняемые копии в папки «ProgramData» и «StartUp», делает их скрытыми системными файлами и отключает диспетчер задач. Вредоносное ПО также использует функцию QueueUserWorkItem в .NET, чтобы объединить угрозы для других полезных нагрузок и потоков шифрования.

HavanaCrypt собирает следующую информацию о системе:

  • количество ядер процессора;
  • идентификатор и название чипа;
  • производитель и название материнской платы;
  • номер продукта и версия BIOS.

Данные отправляются на C2 сервер злоумышленника, который является IP-адресом службы веб-хостинга Microsoft. Это позволяет избежать обнаружения. Для генерации случайных ключей HavanaCrypt использует функцию CryptoRandom в менеджере паролей KeePass Password Safe, добавляя расширение «.Havana» ​​к зашифрованным файлам. «HavanaCrypt также шифрует текстовый файл «foo.txt» и не оставляет записку с требованием выкупа. Это может указывать на то, что HavanaCrypt все еще находится в стадии разработки», - заключили исследователи.