Новый вымогатель Spider удаляет файлы через 96 часов

Новый вымогатель Spider удаляет файлы через 96 часов

Новый вымогатель Spider удаляет файлы через 96 часов

Эксперты из Netskope отмечают появлении новой версии вредоноса-вымогателя, распространяющегося через вредоносные документы Office. Вредоносная программа получила имя Spider Virus, впервые ее атаки были обнаружены 10 декабря и до сих пор продолжаются.

Как и сотни других атак вымогателей, атака Spider начинается с вредоносных электронных писем, адресованных потенциальным жертвам. Темы этих писем, а также вложенные файлы, наталкивают на мысль о том, что злоумышленники атакуют жертв на Балканах. На данный момент неизвестно, где находятся сами киберпреступники.

Вредоносное вложение Office содержит обфусцированный макрокод, который позволяет PowerShell загружать первый этап полезной нагрузки вымогателя с сайта злоумышленников. Это сработает лишь в том случае, если макросы включены.

После этого этапа PowerShell-скрипт расшифровывает строку Base64 и выполняет операции для декодирования конечных пейлоадов в файл .exe, который содержит сам шифровальщик Spider.

После этого файлы пользователя шифруются, к ним добавляется расширение .spider, а затем отображается записка с требованиями о выкупе. В этой записке жертве объясняется, что она заражена вредоносом Spider Virus и ей необходимо оплатить биткойны, за которые злоумышленники обещают предоставить ключ для расшифровки.

Также киберпреступники угрожают удалить файлы пользователя, если платеж не будет получен в течение 96 часов.

Далее пользователю объясняется, как загрузить браузер Tor, необходимый для доступа к сайту оплаты, как сгенерировать инструмент расшифровки и как приобрести биткойн.

Злоумышленники даже предлагают некий видеоурок, способный, по их словам, разъяснить жертвам все эти шаги поэтапно.

На данном этапе исследователи называют атаки Spider «кампанией среднего масштаба».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Взломан сайт Xubuntu: вместо торрента распространяли вредоносный файл

Пользователи дистрибутива Xubuntu, созданного на базе Ubuntu, сообщили о взломе официального сайта проекта. Вместо привычного торрент-файла для загрузки системы на странице появился ZIP-архив с вредоносным исполняемым файлом для систем Windows (EXE).

Проверка на VirusTotal показала, что этот файл детектируется 32 антивирусными движками.

После первых сообщений от пользователей команда Xubuntu оперативно удалила подозрительную ссылку с сайта.

Некоторые пользователи запустили подозрительный файл в виртуальной машине. При запуске он на мгновение открывал окно командной строки Windows, а затем отображал интерфейс, похожий на официальный установщик Xubuntu. По всей видимости, именно в этот момент происходил запуск скрытых вредоносных компонентов.

Чтобы не вызывать подозрений, злоумышленники добавили в архив настоящий установщик Xubuntu — в итоге пользователь видел привычный процесс установки и не догадывался, что в фоне вредонос начинал искать конфиденциальные данные.

Пока ни одна ИБ-компания не опубликовала технический разбор зловреда. Однако эксперты полагают, что авторов интересуют криптовалютные кошельки и финансовые данные.

Команда Xubuntu уже восстановила корректные ссылки на загрузку и расследует детали инцидента. Пользователям, которые успели скачать ZIP-архив, настоятельно рекомендуется удалить файл и проверить систему антивирусом.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru