Новый вариант шифровальщика DJVU маскируется под крякнутый софт
Главная » Новости
SECURITM — система управления информационной безопасностьюSECURITM — система управления информационной безопасностью. Сократите расходы, автоматизируйте проверку соответствия требованиям и сведите подготовку к аудиту до 2 дней. Единая система для рисков, уязвимостей, активов и комплаенса с AI-ассистентом, конструктором документов, ГОСТ 57580, КИИ, ПДн, ГИС и поддержкой других регуляторных документов.→ Ознакомиться
Реклама. ООО «СЕКЪЮРИТМ». ИНН 7820074059, 16+

Новый вариант шифровальщика DJVU маскируется под крякнутый софт

Екатерина Быстрова 30 Ноября 2023 - 09:48
...
Новый вариант шифровальщика DJVU маскируется под крякнутый софт

Семейство программ-вымогателей, известное под именем DJVU, теперь распространяется под видом взломанного софта. Специалисты Cybereason назвали новые образцы вредоноса «Xaro».

В отчёте исследователи отмечают, что обнаруженный семпл добавляет пострадавшим файлам расширение .xaro. Операторы шифровальщика предлагают расшифровать файлы за выкуп.

Этот вариант DJVU отличается тем, что вместе с ним на заражённом хосте присутствует также набор вредоносных загрузчиков и похищающих данные троянов.

DJVU представляет собой одну из вариаций программы-вымогателя STOP. Как правило, DJVU проникает в системы под видом легитимных служб или приложений и часто тащит за собой пейлоад SmokeLoader.

Это, кстати, одна из важнейших составляющих атак DJVU — установка дополнительных вредоносов. Среди них нередко встречаются инфостилеры вроде RedLine и Vidar.

В недавних атаках, на которые обратили внимание эксперты Cybereason, Xaro распространялся в виде архива и размещался на сайтах, предлагающих взломанные программы.

При открытии такого архива происходил запуск бинарника, инсталлирующего в систему читалку PDF-файлов — CutePDF. На деле же это PPI-сервис (pay-per-install) PrivateLoader, ранее фигурировавший в атаках RisePro.

PrivateLoader устанавливает соединение с командным сервером (C2) и вытаскивает оттуда целый набор разных зловредов (помимо дропа самого Xaro).

 

Попав в систему, вымогатель шифрует файлы и предлагает жертве заплатить 980 долларов за ключ и дешифратор.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новая афера: дипфейки и фейковые сайты обманывают семьи бойцов СВО
Екатерина Быстрова 19 Сентября 2025 - 09:08
МошенничествоДипфейк (Deepfake)Онлайн-мошенничество Домашние пользователи F6
Новая афера: дипфейки и фейковые сайты обманывают семьи бойцов СВО

Специалисты выявили новую схему обмана, рассчитанную на участников спецоперации, ветеранов и их семьи. Злоумышленники создают сайты, внешне копирующие благотворительные фонды. На этих ресурсах обещают «поддержку» — якобы выплаты до 500 тысяч рублей ежемесячно в рамках несуществующей инвестиционной программы.

Чтобы придать видимость правдоподобия, аферисты заявляют, что программа «создана по приказу президента» и что «участники уже получают выплаты». На сайтах размещают фальшивые отзывы, в том числе видеодипфейки, где реальные кадры бойцов озвучены чужими голосами.

Потенциальным жертвам предлагают вложить от 50 тысяч рублей и обещают доходность «от 21% в месяц». На сайтах размещают «калькулятор прибыли» и форму для заявки, где нужно указать имя и телефон. После этого жертве звонит «персональный менеджер» из кол-центра мошенников.

 

На деле цель схемы — получить деньги и персональные данные. Пользователю могут предложить установить вредоносное приложение «для открытия вклада» или отправить сканы документов «для верификации». В результате злоумышленники получают полный контроль над устройством и доступ к банковским счетам.

Эксперты отмечают, что такие атаки могут быть как целевыми, так и массовыми. Некоторые сайты-двойники уже индексируются в поисковых системах, а домены связаны с другими схемами инвестмошенничества.

Подобные аферы с «поддержкой бойцов и их семей» фиксируются с 2022 года. Мошенники используют разные сценарии: от фейковых выплат и приложений до общения в мессенджерах под видом волонтёров. Часто они действуют в долгую — общаются в соцсетях месяцами, чтобы войти в доверие, и только потом присылают ссылки на поддельные сайты.

Как не попасться на уловку:

  • не верьте обещаниям больших и лёгких выплат;
  • проверяйте информацию о господдержке только на официальных сайтах;
  • внимательно относитесь к доменам сайтов, используйте сервисы проверки;
  • не переходите по подозрительным ссылкам, даже если их прислал знакомый;
  • никогда не делитесь паролями, кодами из СМС и данными карт;
  • не переводите деньги незнакомым людям;
  • при сомнениях советуйтесь с близкими.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Уязвимость в WinRAR используют для установки бэкдора RomCom
Новость
Уязвимость в WinRAR используют для установки бэкдора RomCom
Госдума утвердила создание перечня значимых разработчиков ПО
Новость
Госдума утвердила создание перечня значимых разработчиков ПО
Поведенческие атаки на медсектор в августе выросли почти на треть
Новость
Поведенческие атаки на медсектор в августе выросли почти на...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.