Новый вредонос Rakhni может заразить как майнером, так и шифровальщиком

Новый вредонос Rakhni может заразить как майнером, так и шифровальщиком

Специалисты «Лаборатории Касперского» наткнулись на новую форму вредоносной программы, которая может инфицировать компьютер пользователя либо вымогателем, либо вредоносным майнером (зависит от конфигурации компьютера). Зловред получил имя Rakhni.

Исследователи уточняют, что первые образцы семейства Trojan-Ransom.Win32.Rakhni были впервые обнаружены в 2013 году.

Теперь же злоумышленники решили добавить к возможностям Rakhni вредоносный криптомайнинг. Попав в систему, новые варианты Rakhni принимают решение, чем заразить пользователя, исходя из конфигурации его компьютера.

Rakhni распространяется с помощью целевого фишинга, электронные письма содержат прикрепленный файл документа Word. В документах находится значок PDF, если на него нажать, запуститься вредоносный исполняемый файл.

В процессе выполнения вредоносная составляющая отобразит пользователя сообщение об ошибке, тем временем параллельно будут выполняться проверки на установленные антивирусные программы и песочницы.

Если вредонос понимает, что систему можно заразить, он выбирает между вредоносным майнером и вымогателем.

Rakhni будет проверять наличие папки %AppData%\Bitcoin, если она существует, вредоносная программа установит шифровальщик. Если же директории нет, а компьютер располагает двумя и более логическими процессорами, зловред загрузит майнер криптовалюты.

Rakhni располагает сертификатом, то есть каждый исполняемый файл подписан. Эти поддельные сертификаты якобы были выпущены Microsoft и Adobe. Эксперты также заметили, что вредоносная программа использует CertMgr.exe для установки поддельных сертификатов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Баг Ubuntu настолько серьёзен, что даже Red Hat советует патчиться

Уязвимость Linux-дистрибутива Ubuntu оказалась настолько опасной, что даже Red Hat настоятельно рекомендует всем обновить версию ОС. Согласно описанию, эта проблема позволяет процессу выбраться за пределы пространства имён (User namespace).

Выявленная и пропатченная брешь под идентификатором CVE-2022-0185 потенциально затрагивает любую машину с запущенными контейнерами. Если вы не работаете с контейнерами, вам подойдёт отключение функциональности user-namespace.

Среди затронутых версий перечислены Ubuntu 20.04, 21.04 и 21.10, но другие дистрибутивы могут также страдать от бага. К слову, 20 января 2022 года срок поддержки Ubuntu 21.04 подошёл к концу, так что пользователям рекомендуют срочно установить более актуальный релиз.

Ubuntu 22.04 всё ещё находится на стадии тестирования. Её выход запланирован на 21 апреля; по слухам, она будет включать GNOME 42.

Напомним, что месяц назад в компоненте GNOME AccountsService обнаружили уязвимость, с помощью которого атакующие могли повысить права в системе. Тогда проблеме присвоили номер CVE-2021-3939.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru