Обнаружен вредоносный JavaScript, использующий агрессивные методы

Обнаружен вредоносный JavaScript, использующий агрессивные методы

Исследователи безопасности обнаружили вредоносный сценарий, который использует агрессивную тактику, чтобы завладеть браузером и помешать пользователям удалить себя из системы. 

Несмотря на то, что угроза не представляет собой что-то новое, исследователи из Kahu Security говорят, что настолько агрессивной тактики они раньше не встречали. Более того, автор настолько обфусцировал скрипт, что это создает серьезную проблему при его анализе специалистами.

Вредоносный скрипт содержит многочисленные переменные и функции, но в нем отсутствуют пробелы, переводы строки и табуляция, что очень затрудняет его анализ. Кроме того, JavaScript содержит закодированные символы поиска регулярных выражений поиска/замены, необычные преобразования базы, а также условные операторы в попытке скрыть его умысел.

Для того, чтобы закрепиться на зараженной машине, скрипт делает копию wscript.exe, а затем переименовывает его, присваивая случайное имя и сохраняет его в новую папку в AppData\Roaming. Вредонос также создает свою копию и использует копию wscript.exe для запуска сценария.

Эксперты также отмечают, что скрипт использует определенные ключи реестра, чтобы скрыть папку, а затем создает ярлык в папке автозагрузки. Таким образом, скрипт будет запускаться при каждом старте системы.

Кроме того, скрипт проверяет, может ли он получить доступ к Microsoft, Google и Bing, а затем отправляет данные о зараженном компьютере на urchintelemetry[.]com и загружает зашифрованный файл из 95.153.31[.]22. Этот файл представляет собой скрипт, предназначенный для изменения начальной страницы в Internet Explorer, Firefox и Chrome на login.hhtxnet[.]com.

При запуске браузера, пользователь перенаправляется на portalne[.]ws. Исследователи также говорят о том, что командный центр вредоноса выглядит нефункционирующим, однако, если отправлен определенный правильный POST, командный центр ответит.

Зловред также использует инструментарий управления Windows, чтобы защитить себя от различных антивирусных программ. Таким образом, если скрипт видит процессы определенных программ, он завершает их необычным способом – отображая сообщение, которое призвано заставить пользователей думать, что программа не работает.

Если пользователь завершает процесс WScript, связанный с вредоносом, компьютер сразу же выключается. Для того, чтобы все-таки удалить зловред, нужно перезагрузить компьютер в безопасном режиме, либо войти в другую учетную запись и удалить ссылку запуска в папке roaming. Исследователям безопасности рекомендуется переименовывать свои процессы во что-нибудь безобидное, если они хотят заняться анализом этого вредоноса.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Задержаны россияне, спонсировавшие ИГ с помощью Telegram

В Томской области задержаны несколько человек, которые спонсировали «Исламское государство» («ИГ» — запрещенная на территории России экстремистская группировка) через мессенджер Telegram, к которому у российского правительства тоже осталось множество вопросов.

Следственный комитет Российской Федерации возбудил уголовное дело против гражданки России, проживающей в городе Стрежевом Томской области. Обвиняемая работала оператором в одной из компаний.

По данным следствия, гражданка оказывала «ИГ» услуги «направленные на финансирование организации, подготовку и совершение преступлений» — осуществляла денежные переводы.

«В период с июня 2016 года по июнь 2017 года обвиняемой, посредством системы удаленного доступа осуществлялись неоднократные переводы денежных средств, предназначенных для обеспечения деятельности международной террористической организации «ИГ», в общей сумме около 1 млн рублей на банковскую карту, зарегистрированную на имя женщины, ранее состоявшей в браках с участниками незаконного вооруженного формирования, действовавшего на территории Кабардино-Балкарской Республики», — говорится на сайте СК РФ.

В ходе обысков по месту работы и жительства обвиняемой была изъята литература «исламского характера», а также «картины с исламской символикой».

Помимо этого, ФСБ сообщило о задержании в Томской области нескольких человек, которые использовали Telegram для сбора денежных средств для «ИГ».

«Было установлено, что членами группы в закрытых чатах мессенджера Telegram размещались реквизиты банковских карт и платежных сервисов для совершения переводов боевикам, воюющим в составе ИГ на территории Сирии», — передает «Ъ» сообщение ФСБ.

Количество задержанных не уточняется.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru