Шифровальщик Mailto внедряется в Проводник Windows и обходит антивирусы

Шифровальщик Mailto внедряется в Проводник Windows и обходит антивирусы

Семейство программ-вымогателей Mailto (NetWalker) научилось внедрять вредоносный код в легитимный системный процесс Проводника Windows (Windows Explorer). Благодаря этой тактике шифровальщик успешно обходит детектирование антивирусными средствами.

Впервые исследователи в области кибербезопасности заметили Mailto в августе 2019 года. Имя вымогатель получил из-за расширения, которое он добавляет к зашифрованным файлам.

Углубившись в анализ вредоноса, эксперты пришли к выводу, что его авторы называют его иначе — «NetWalker». Также специалисты сообщили, что Mailto атакует не только обычных пользователей, но и стремится проникнуть в корпоративные сети, чтобы потом зашифровать все подключённые устройства.

Совсем недавно разработчики шифровальщика оснастили своё детище возможностью прятать код в процессе Windows Explorer. Для этого вредонос использует интересную методику: Mailto запускает процесс в режиме отладки, после чего использует специальный API вроде WaitForDebugEvent для внедрения вредоносного кода.

В результате совершенно легитимный системный процесс explorer.exe выполнит злонамеренную нагрузку. Исследователи из Quick Heal поделились скриншотом, на котором отчётливо видна инъекция кода вымогателя:

Далее Mailto создаёт объект автозапуска в реестре Windows и уничтожает все теневые копии, чтобы жертва не смогла восстановить зашифрованные файлы.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Евросоюз хотел сканировать фото на iPhone пользователей ещё до анонса Apple

Власти рассматривали возможность использования технологии Apple для сканирования медиаконтента пользователя ещё до того, как техногигант из Купертино решил с её помощью бороться с детской порнографией. Об этом заявили исследователи в области безопасности.

Как раз такое положение дел больше всего пугало специалистов по защите информации: власти будут пытаться заставить Apple использовать технологию для сканирования нужного им контента.

Для этого достаточно будет «протащить» новый законопроект, который обяжет корпорацию искать на устройствах iPhone и iPad определённые медиафайлы. А прикрыться всегда можно борьбой с терроризмом или любой другой благой целью.

Опубликованный сегодня отчёт говорит нам о том, что это далеко не гипотетическая возможность. Группа исследователей, чьи выводы опубликовало издание The New York Times, заявили, что Евросоюз планировал использовать технологию Apple.

В исследовании, которое раскинулось аж на 46 страницах, специалисты подчёркивают желание Евросоюза вычислять с помощью сканирования контента на смартфонах террористов, действующих на территории Европы.

По словам специалистов, они изучали эту проблему ещё до основного анонса Apple, в котором корпорация рассказала о планах сканирования данных на девайсах пользователей. В частности, исследователи ссылаются на документы (PDF), опубликованные Евросоюзом.

Вывод экспертов: технология Apple весьма опасна для владельца устройств, поскольку это мало чем отличается от шпионских методов.

Напомним, что в августе в системе купертиновцев для сканирования фотографий нашли уязвимость. Примерно в это же время Apple пыталась убедить всех, что эта функция не является бэкдором.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru