Новый шифровальщик использует вредоносную технологию Doppelgänging

Новый шифровальщик использует вредоносную технологию Doppelgänging

Новый шифровальщик использует вредоносную технологию Doppelgänging

Аналитики «Лаборатории Касперского» обнаружили троянца-шифровальщика, который использует новую технику для обхода защитных решений и старательно избегает компьютеров с кириллической раскладкой на клавиатуре. Речь идёт о новой версии уже известного зловреда SynAck. Как выяснили эксперты, он первым из шифровальщиков начал использовать так называемую технику Doppelgänging, которая позволяет вредоносной программе маскироваться под легитимный процесс. Если учесть, что в этом вредоносе применяются также и другие методы «обмана» антивирусных решений, то задача обнаружения его присутствия в системе становится довольно сложной.

SynAck известен с осени 2017 года. Тогда он атаковал преимущественно англоговорящих пользователей и задействовал для этого брутфорс-технику (метод перебора пароля) с последующей ручной установкой вредоносного файла. Однако новая версия шифровальщика стала на порядок сложнее. К примеру, используемая в ней техника Doppelgänging эксплуатирует недокументированную возможность загрузки процессов в Windows и позволяет внедрить бесфайловый вредоносный код в легитимные системные процессы. В итоге шифровальщик не оставляет никаких следов в заражённой системе.

Как полагают исследователи, SynAck выбирает своих жертв довольно тщательно, поэтому сейчас атаки шифровальщика носят целевой характер. К настоящему моменту заражения зафиксированы в США, Кувейте, Германии и Иране. Средний размер выкупа, который требует зловред, составляет 3000 долларов США.

«Игра на опережение между атакующими и защитниками в киберпространстве никогда не останавливается. Новая техника Doppelgänging позволяет вредоносному ПО проскользнуть мимо радаров даже самых современных защитных технологий. Неудивительно, что злоумышленники не замедлили воспользоваться ей. Но к счастью, логика детектирования подобных угроз была добавлена в защитные решения прежде, чем они стали реальностью», – отметил Антон Иванов, антивирусный эксперт «Лаборатории Касперского».

Защитные решения «Лаборатории Касперского» распознают новую версию шифровальщика SynAck как Trojan-Ransom.Win32.Agent.abwa, Trojan-Ransom.Win32.Agent.abwb и PDM:Trojan.Win32.Generic.

Ранее мы сообщали об открытии новой технологии инъекции кода Doppelgänging. Эта вредоносная схема работает на всех версиях Windows, обходя большинство современных продуктов безопасности.

Российский госсектор и промышленностью атакуют через обновления ViPNet

Эксперты Kaspersky GReAT обнаружили активную кибершпионскую кампанию HelloNet, нацеленную на крупные российские организации. Под удар попали предприятия госсектора, промышленности, энергетики, транспорта, логистики и образования. Главная неприятность — злоумышленники используют механизм обновлений ViPNet, популярного ПО для создания защищённых сетей.

Атака начинается не с подозрительного архива «Документы_срочно.zip», а маскируется под вполне легитимный корпоративный процесс.

Для заражения применяется техника сторонней загрузки DLL. Один из компонентов ViPNet запускается вместе с операционной системой и подхватывает вредоносную библиотеку. Дальше начинается полноценный набор для тихой жизни внутри чужой инфраструктуры.

В кампании задействованы сразу несколько ранее неизвестных инструментов. HelloInjector загружает дополнительные вредоносные модули, HelloProxy проксирует трафик и запускает новые нагрузки, HelloExecutor позволяет выполнять команды на заражённом компьютере. А HelloCleaner стирает журналы ViPNet, чтобы следов осталось поменьше.

На одной из систем исследователи также нашли HelloBackdoor — бэкдор для работы с файловой системой.

По техническим признакам специалисты с низкой уверенностью связывают кампанию с неизвестной китайскоговорящей группировкой. При этом атака всё ещё продолжается.

В «Лаборатории Касперского» напоминают, что ViPNet уже становился приманкой для атакующих: в 2025 году десятки российских организаций столкнулись с бэкдором, который тоже притворялся обновлением этого ПО.

Компаниям рекомендуют отдельно проверить рабочие станции с ViPNet и внимательно изучить сетевой трафик.

RSS: Новости на портале Anti-Malware.ru