Шифровальщик Mallox за 3 года мутировал в RaaS-угрозу, родил 700 образцов

Шифровальщик Mallox за 3 года мутировал в RaaS-угрозу, родил 700 образцов

Шифровальщик Mallox за 3 года мутировал в RaaS-угрозу, родил 700 образцов

Специалисты Kaspersky изучили путь программы-вымогателя Mallox, который за несколько лет смог эволюционировать в RaaS-угрозу. А начинал шифровальщик в качестве обычного вредоноса для целевых кибератак.

Как отметили в «Лаборатории Касперского», 2023 год отметился резким скачком киберопераций, в которых фигурировал Mallox. В самый разгар активности операторов вымогателя исследователи насчитали более 700 образцов зловреда.

Mallox впервые зафиксировали в 2021 году. Тогда шифровальщик использовался исключительно в таргетированных киберкампаниях и представлял серьёзную угрозу для организаций (в том числе из России).

Авторы Mallox адаптировали своё детище под каждую жертву, чтобы свести к минимуму возможность детектирования. В начале прошлого года операторы запустили партнёрскую программу, привлекая других киберпреступников для распространения вредоносной программы.

Например, тем злоумышленникам, которые уже получили доступ к большому числу организаций или к крупным сетям, авторы Mallox предлагали 80% прибыли. Менее приоритетным партнёрам готовы были отдать 70%.

В отчёте Kaspersky утверждается, что злоумышленники используют для заражения уязвимости в серверах MS SQL и PostgreSQL. Схемы шифрования постоянно совершенствуются, чтобы выжать максимум из атак.

Перед самим шифрованием Mallox проверяет языковые настройки операционной системы и завершает работу, если обнаруживается язык одной из нескольких стран СНГ.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Троян PipeMagic маскируется под ChatGPT и расширил географию мишеней

Авторы целевых атак с использованием PipeMagic стали выдавать троянский бэкдор за приложение ChatGPT. Вредоносная фальшивка, подвергнутая анализу в «Лаборатории Касперского», оказалась написанной на Rust.

Модульный бэкдор, умеющий воровать конфиденциальные данные, впервые попал в поле зрения экспертов в 2022 году; на тот момент его применяли в атаках на организации азиатских стран. В прошлом месяце злоумышленники расширили географию своих интересов и объявились в Саудовской Аравии.

Распространяемый ими фейк содержит несколько ходовых библиотек Rust, создающих иллюзию легитимности. Однако при открытии приложения появляется пустое окно; как оказалось, за ним спрятан целевой зловред — массив зашифрованных данных размером 105 615 байт.

Троян использует алгоритм хеширования для поиска в памяти функций Windows API по соответствующим смещениям. После этого в систему загружается бэкдор, который настраивается и запускается на исполнение.

«Злоумышленники постоянно совершенствуют свои стратегии, чтобы атаковать более крупные жертвы, и расширяют своё присутствие, — предупреждает Сергей Ложкин, ведущий эксперт Kaspersky GReAT. — Примером этого стала кампания PipeMagic, в которой действие трояна было расширено от Азии до Саудовской Аравии. Мы ожидаем, что число кибератак с использованием этого бэкдора будет расти».

В прошлом году PipeMagic засветился в атаках, нацеленных на засев шифровальщика Nokoyawa. Для его запуска использовался опенсорсный скрипт MSBuild.

Стоит также отметить, что зловреды на Rust — давно уже не редкость. Использование этого языка программирования позволяет повысить быстродействие, эффективность и стабильность работы вредоносного кода, к тому же подобные творения вирусописателей способны работать на различных платформах.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru