Авторы вымогателя просят совета у исследователя в области безопасности

Авторы вымогателя просят совета у исследователя в области безопасности

Разработчики вымогателя Apocalypse обратились за советом к исследователям в области безопасности. На этот шаг их толкнула постоянно возникающая ошибка в коде, преследующая их творение.

Технический директор Emsisoft и исследователь в вопросах безопасности Фабиан Уосар (Fabian Wosar) несколько раз довольно неприятно «пересекался» с авторами Apocalypse. В свое время, злоумышленники, раздосадованные тем, что Фабиан сумел взломать их код и выпустить бесплатные инструменты для дешифровки, внесли в свой код оскорбительные комментарии и даже назвали угрозу “Fabiansomware”.

Однако в этот раз они обратились за помощью к Фабиану, чтобы решить некоторые проблемы со своим кодом. В своем обращении они всячески льстят эксперту и пытаются переманить его на свою сторону, называя «лучшим в криптографии».

Ошибка в коде авторов вымогателя заключается в CryptoApi, в результате нее файлы заполняются мусором, если функция шифрования не отрабатывает. То есть даже если жертва заплатит выкуп или воспользуется инструментом для расшифровки, файлы будут непригодными для использования.

Авторы шифровальщика так и не смогли сами понять, в чем же кроется ошибка. Обращаясь к исследователю за помощью, они предложили выслать код шифрования и расшифровки, чтобы он просто указал, где находится ошибка.

Вся эта ситуация является моральной дилеммой для Фабиана и он попросил совета в Twitter. Как и ожидалось, большинство посоветовало ему ни в коем случае не помогать злоумышленникам, а продолжать и дальше взламывать их код.

Однако не все так просто, и такая «помощь» может выйти эксперту боком.

«Если я исправлю их код, то в соответствии с законодательством Германии меня можно привлечь к ответственности, так что это еще и тонкий юридический вопрос. Самое лучшее, что я могу сделать – отослать их к документации Microsoft, где объясняется, как использовать те функции, которыми они пытаются оперировать в своем коде. После этого остается надеяться, что они самостоятельно вычислят ошибку» - говорит Фабиан Уосар.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

PyPI приостановил регистрацию новых пользователей из-за вредоноса

Популярный репозиторий Python Package Index (PyPI) ограничил возможность регистрации новых пользователей после масштабной вредоносной кампании по распространению трояна, похищающего данные.

PyPI — одно из первых мест, куда идут разработчики на Python, пытаясь найти нужные пакеты. Из-за популярности репозиторий не раз становился объектом внимания киберпреступников.

Именно такую кампанию злоумышленники запустили на днях, из-за чего администраторам PyPI пришлось приостановить регистрацию новых пользователей на площадке.

 

О кибероперации также написали исследователи из Checkmarx. По их словам, атакующие сразу начали с загрузки 365 пакетов, чьи имена были замаскированы под легитимные проекты.

Все злонамеренные пакеты включали вредоносный код в файле «setup.py», который выполнялся в процессе установки. Этот код пытается получить дополнительный пейлоад с удалённого сервера.

Для ухода от детектирования вредонос зашифрован с помощь модуля Fernet, а URL командного центра собирается динамически при необходимости.

Конечный пейлоад представляет собой троян, ворующий данные пользователей, сохранённые в браузерах: логины и пароли, cookies и крипторасширения.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru