Trend Micro: Обнаружен новый вариант вымогателя Cerber

Trend Micro: Обнаружен новый вариант вымогателя Cerber

Trend Micro: Обнаружен новый вариант вымогателя Cerber

Trend Micro предупреждает о появлении нового варианта вымогателя Cerber, который распространяется, используя многочисленные векторы атак, и имеет переработанную систему шифрования файлов.

Злоумышленники используют различные методы, пытаясь увеличить скорость распространения зловреда, в их число входят электронная почта, наборы эксплоитов и недавно обнаруженные уязвимости (например, в Apache Struts 2). Сама вредоносная программа получила множество улучшений, в том числе возможность обойти защиту с возможностью обучения.

Как полагают эксперты, Cerber генерирует миллионы долларов ежегодного дохода для разработчиков. Благодаря этому, злоумышленникам удается постоянно улучшать свое творение, оснащая его все новыми функциями. Например, новая версия получила дополнительные механизмы защиты от песочниц.

Новый вариант вредоноса распространяется через спам-письма с заархивированным вложением с вредоносным файлом JavaScript (JS) внутри. После анализа нескольких JS-файлов Trend Micro обнаружила, что они выполняют свою вредоносную функцию в три этапа: непосредственно загружают вредоносную нагрузку, создают запланированную задачу для запуска зловреда через две минуты и запускают встроенный сценарий PowerShell.

Использование отложенного выполнения позволяет вымогателю избежать традиционных программ-песочниц, которые имеют механизмы тайм-аутов или ждут окончательного запуска вредоносной программы. Использование PowerShell в этой схеме довольно предсказуемо, учитывая популярность этой техники в последние месяцы.

«Мы уже давно наблюдали, как Cerber переходил к более незаметной тактике заражения. В феврале этого года некоторые варианты этого зловреда начали проверять, установлены ли в зараженной системе какие-либо брандмауэры, антивирусные и антишпионские продукты» - говорят исследователи безопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники начали собирать подписи россиян через фишинговые сайты

Эксперты центра мониторинга внешних цифровых угроз Solar AURA (ГК «Солар») выявили новую фишинговую кампанию: злоумышленники собирают личные подписи россиян через поддельные сайты.

Чаще всего для этого используется фейковая страница, якобы принадлежащая Росфинмониторингу.

Пользователю предлагают ввести личные данные, а затем оставить подпись в специальном окне — с помощью мыши или другого координатного устройства.

«После выполнения квеста жертву просто перенаправляют на сайт поисковой системы Google», — комментирует Александр Вураско, директор по развитию центра Solar AURA.

Полученные подписи, несмотря на их низкое качество, злоумышленники, вероятно, будут использовать для подделки документов от имени тех, кто попался на уловку.

По данным Solar AURA, вредоносный сайт уже поставлен в очередь на блокировку, однако специалисты уверены, что подобные попытки будут повторяться.

Чтобы снизить риски от фишинговых атак, эксперты рекомендуют:

  • Использовать только официальные интернет-ресурсы;
  • Внимательно проверять адреса ссылок и доменные имена;
  • Не переводить деньги незнакомым лицам и не оплачивать товары и услуги на сомнительных сайтах;
  • Не раскрывать личные данные и коды подтверждения (в том числе одноразовые) на сторонних ресурсах и при общении с незнакомыми людьми;
  • Применять средства защиты от вредоносного ПО и фишинга.

Кроме атак на частных пользователей, злоумышленники активно действуют и против бизнеса. Такие кампании часто направлены на сбор идентификационных данных сотрудников внутри ИТ-инфраструктуры. В отдельных случаях злоумышленники, представляясь сотрудниками ФСБ, убеждали установить средства удалённого управления.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru