Мультиплатформенного шифровальщика Cyclops поженили с инфостилером

Мультиплатформенного шифровальщика Cyclops поженили с инфостилером

Операторы RaaS-сервиса Cyclops (Ransomware-as-a-Service, вымогатель как услуга) дополнили свой ассортимент вредоносом, ворующим данные. Рекламу новинки отследили на хакерских форумах исследователи из Uptycs.

По всей видимости, новая услуга ориентирована на тех, кто использует схему двойного шантажа: не только шифрует данные, но также ворует важные файлы и угрожает публикацией в случае неуплаты выкупа. За дополнительный компонент с подписчиков берут долю прибыли.

Шифровальщик Cyclops нацелен на разные платформы: Windows (64-бит), macOS, Linux. Версии для macOS и Linux написаны на Golang.

Вредонос умеет принудительно завершать процессы, мешающие его работе, и применяет сложную схему шифрования, предполагающую использование симметричных и асимметричных шифров. Логика Cyclops напомнила аналитикам Babuk: при работе на Windows-машинах оба используют эллиптические кривые Диффи – Хеллмана (Curve25519) и потоковый шифр HC-256, а также комбинацию Curve25519 и ChaCha.

После шифрования содержимого в конец файла записываются публичный ключ (вшит в код зловреда), хеш CRC32 и маркер, позволяющий избежать повторного шифрования. К обработанным файлам добавляется расширение .CYCLOPS. По завершении шифрования в системе создается записка с требованием выкупа и ссылкой на onion-сайт для восстановления данных.

Модуль-инфостилер, который можно подключить из админ-панели, тоже написан на Go и заточен под Windows и Linux. Зловред собирает информацию о зараженной машине (данные ОС, имя компьютера, число процессов, контроллер домена, через который осуществляется вход). Поиск файлов, представляющих интерес, осуществляется по имени и расширению; вся добыча выгружается на удаленный сервер.

Версия стилера для 64-битных Windows загружается в виде архивного файла, содержащего stealer.exe и config.json со списками целевых имен, расширений и размеров. При исполнении вредонос считывает данные из config.json, перечисляет папки и ищет в них нужные объекты. Обнаружив совпадение, он архивирует содержимое файла (ZIP), запароливает итог и отсылает на сервер оператора.

Инфостилер для Linux тоже доступен клиентам RaaS в виде архива, но с несколько иным содержимым — stealer.linux и config.json. По функциональности этот модуль, по данным Uptycs, схож с Windows-версией.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

iOS и iPadOS 17.4.1 устранили уязвимость удалённого выполнения кода

Apple раскрыла немного подробностей относительно одного из последних обновлений, вышедших на прошлой неделе, — iOS и iPadOS 17.4.1. Оказалось, апдейты устраняют опасную уязвимость, способную привести к удалённому выполнению кода.

Как пишет корпорация, уязвимость, получившая идентификатор CVE-2024-1580, затрагивает следующие модели «яблочных» устройств:

  • iPhone XS и более поздние;
  • iPad Pro (12,9 дюйма) и более поздние;
  • Первое поколение 11-дюймового iPad Pro и более поздние;
  • Третье поколение iPad Air и более поздние;
  • iPad mini пятого поколения и более поздние.

Корень CVE-2024-1580 кроется в библиотеке с открытым исходным кодом — dav1d AV1 (используется для декодирования AV1-видео на многих платформах и девайсах), допускающей запись за пределами границ.

В iOS и iPadOS от бреши страдают два компонента: фреймворк Core Media, предназначенный для обработки мультимедийных данных, и имплементация WebRTC.

Чтобы полностью избавить пользователей от CVE-2024-1580, Apple выпустила патчи для браузера Safari, а также систем macOS Sonoma и VenturavisionOS. За информацию об уязвимости корпорация поблагодарила исследователи из команды Google Project Zero.

Есть мнение, что Apple не сразу опубликовала разъяснения к апдейтам именно потому, что разработчики считают CVE-2024-1580 опасной проблемой.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru