Новый шифровальщик Agenda подстраивается под каждую жертву

Екатерина Быстрова 29 Августа 2022 - 12:05

Малый и средний бизнес

...

Компания Trend Micro предупреждает о новой киберугрозе — семействе программ-вымогателей под названием Agenda. Особенностью этого вредоноса является способность подстраиваться под каждую жертву.

Agenda написан на Golang (Go), что позволяет адаптировать его под каждую платформу. Попав в систему, вымогатель может перезагружать ее в безопасный режим, а также завершать работу ряда процессов и служб.

Согласно отчету Trend Micro, операторы новой вредоносной программы выбрали в качестве основной цели компьютеры Windows. Вооружившись Agenda, злоумышленники атакуют организации сферы образования и здравоохранения.

Исследователи обнаружили несколько семплов, каждый из которых был заточен под конкретную жертву. Сумма требуемого выкупа варьируется от 50 до 800 тысяч долларов.

«Каждый образец вредоноса был кастомизирован под конкретную жертву. Наше расследование показало, что семплы сливали аккаунты, пароли клиентов и использовали уникальные идентификаторы каждой компании в качестве расширение для зашифрованных файлов», — пишет Trend Micro.

Кроме того, специалисты вышли на участника одного из форумов в даркнете, который, судя по всему, связан с распространением Agenda. Человек под ником “Qilin”, предположительно, предлагал шифровальщик партнерам, которые хотели кастомизировать пейлоады под каждую жертву.

Agenda поддерживает несколько параметров командной строки, способен удалять теневые копии, завершать процессы и останавливать службы антивирусов, а также создавать параметр автозапуска своей копии.

Более того, программа-вымогатель изменяет дефолтный пароль пользователя и активирует автоматический вход. После этого система перезагружается в безопасный режим, а вредонос начинает шифровать файлы.

Следующая главная новость »

Как эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Екатерина Быстрова 05 Декабря 2025 - 15:38

Android Трояны Домашние пользователи Лаборатория Касперского

В России в 1,5 раза выросло число заражений NFC-троянами для Android

Во втором полугодии 2025 года кибермошенники в России заметно активизировались. По данным «Лаборатории Касперского», в третьем квартале число попыток заражения Android-смартфонов NFC-троянами выросло более чем в полтора раза и превысило 44 тысячи случаев.

При этом эксперты отмечают интересный сдвиг: если раньше злоумышленники чаще использовали схему «прямого NFC», то теперь всё большую популярность набирает так называемый «обратный NFC».

В этой схеме мошенник выходит на потенциальную жертву через мессенджер и предлагает установить якобы «служебное» приложение для верификации клиента. На деле это вредоносная программа.

После установки жертву убеждают приложить банковскую карту к задней панели смартфона и ввести ПИН-код. Вредонос передаёт данные карты злоумышленникам, которые могут сразу снимать с неё деньги или осуществлять бесконтактные платежи от имени владельца.

Этот метод становится всё популярнее. Жертве присылают APK-файл и уговаривают установить приложение, выдавая его за полезный инструмент. Если пользователь делает зловред основным способом бесконтактной оплаты, смартфон начинает передавать в банкомат сигнал не как его карта, а как карта злоумышленника.

Дальше всё выглядит как обычная просьба «перевести средства на безопасный счёт». Мошенник просит поднести телефон к банкомату и внести деньги — и жертва собственными руками отправляет средства на счёт преступников. Именно поэтому такая схема опаснее: транзакции выглядят вполне легальными.

«С конца 2024 года мы наблюдаем развитие атак с использованием NFC и специальных вредоносных утилит», — объясняет Дмитрий Калинин, эксперт «Лаборатории Касперского». По его словам, подобные техники уже применялись за рубежом, а теперь всё чаще встречаются и в России.

«Если раньше акцент делался на „прямом NFC“, то теперь мы всё чаще видим „обратный NFC“. Опасность этой схемы в том, что жертва сама совершает перевод, и такие операции почти невозможно отличить от обычных», — добавляет он.

Решения «Лаборатории Касперского» определяют подобные вредоносные утилиты как Trojan-Banker.AndroidOS.Ganfyc.

Не так давно мы писали, что для NFC-атак на Android созданы сотни фейков Банка России и Госуслуг.