Новый вымогатель LockFile применяет частичное шифрование для обхода защиты

Новый вымогатель LockFile применяет частичное шифрование для обхода защиты

Новое семейство программ-вымогателей, получившее имя LockFile, оказалось не таким простым, как могло показаться на первый взгляд. Проанализировав этот шифровальщик, эксперты пришли к выводу, что его авторы реализовали целый ряд разных уловок для обхода защитных систем. Одной из ключевых особенностей LockFile стало использование «прерывистого шифрования».

Буквально неделю назад мы писали об операциях LockFile, который взял на мушку серверы Microsoft Exchange. Группировка, управляющая этой программой-вымогателем, получила то же имя.

Недавние атаки LockFile рассчитаны на эксплуатацию связки уязвимостей, известной под общим названием — ProxyShell. Также вредонос использует вектор атаки PetitPotam для проникновения в сети организаций.

Чтобы избежать детектирования современными антивирусными средствами, LockFile прибегает к интересной тактике: программа-вымогатель шифрует лишь каждые 16 байтов файла, что можно назвать частичным или прерывистым шифрованием.

«Операторы вредоносных программ используют частичное шифрование для ускорения процесса. Ранее мы наблюдали такое поведение, например, у BlackMatter, DarkSide, а теперь этой техникой обзавёлся и LockFile», — объясняет Марк Ломан из Sophos.

«Тем не менее есть нечто, что отличает LockFile от других похожих зловредов — он не шифрует первые несколько блоков документа, а фокусируется лишь на каждых 16 байтах. Таким образом, текстовые файлы будут частично читаемы и даже выглядеть при этом как оригинальные».

«Такой подход может быть очень полезным, если нужно уйти от обнаружения защитными программами, заточенными под детектирование шифровальщиков».

Специалистам Sophos удалось изучить поведение относительно нового семейства программ-вымогателей благодаря образцу, который попал на площадку VirusTotal 22 августа 2021 года.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Поклонникам блокчейна в Discord раздают троянов с помощью нового криптора

Эксперты Morphisec выявили вредоносную кампанию, ориентированную на участников NFT- и DeFi-сообществ в Discord, а также поклонников блокчейн-игр. Для обхода антивирусов злоумышленники используют необычную программу-криптор, которой было присвоено кодовое имя Babadeda — по найденной в коде строке-заполнителе.

Новоявленный Windows-зловред уже засветился в киберкампаниях, нацеленных на засев инфостилеров, RAT-троянов и шифровальщика LockBit. С конца лета его в основном используют для доставки BitRAT и Remcos.

Согласно блог-записи Morphisec, атаки в каналах Discord начинаются с рассылки тизеров с предложением загрузить полезную прогу — например, для игры Mines of Dalarnia. Кликнув по указанной ссылке, получатель попадает на сайт-редиректор, схожий с ожидаемым оригиналом.

Адрес фальшивки тоже правдоподобен: злоумышленники используют тайпсквоттинг либо попросту регистрируют такое же имя домена, но в другой TLD-зоне. Для пущей убедительности маскировочный сайт использует бесплатный SSL-сертификат Let’s Encrypt.

После автоматического перенаправления браузера на машину жертвы загружается фейковый инсталлятор для Windows, запускающий цепочку заражения.

 

В ходе исследования было выявлено 82 вредоносных домена, ассоциируемых с Babadeda-кампанией. Все они созданы в период с 24 июля по 17 ноября этого года. Один сайт был оформлен на русском языке.

Обнаружены также различные варианты криптора. Некоторые из них при исполнении выводят интерактивное окно с сообщением об ошибке (отказе приложения) — по всей видимости, это еще один маскировочный трюк.

Первые загруженные на VirusTotal образцы Babadeda (LarvaLabs-App_v2.1.1-setup.exe) плохо детектились — 1-2 антивируса из 60+. По состоянию на 26 ноября его распознают 15 сканеров в коллекции.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru