Программа-вымогатель-паук: новое вредоносное ПО беспокоит Балканы

Опубликовано: 4 Апреля, 2023
Программа-вымогатель-паук: новое вредоносное ПО беспокоит Балканы

Как отмечается в многочисленных исследованиях по безопасности, программы-вымогатели — прибыльная тактика киберпреступников. Только в 2017 году вредоносное ПО нанесло ущерб на сумму более 5 миллиардов долларов, и ожидается, что эта цифра будет только расти, пока программы-вымогатели докажут свою эффективность. К сожалению, реальность такова, что программы-вымогатели по-прежнему являются очень эффективной формой атаки из-за эффективной социальной инженерии, стоящей за ними, и доверчивости жертв. Вредоносное программное обеспечение имеет множество стилей и целей, и теперь отчеты показывают, что к ним добавился еще один вариант программы-вымогателя. В отчете Амита Малика из Netskope исследователь безопасности подробно описал неприятную форму программы-вымогателя, нацеленную на пользователей в Балканском регионе. Получив от исследователей название программы-вымогателя Spider, вредоносное ПО запускается из поддельных документов Microsoft Office, которые отправляются в виде вложения электронной почты с темой на боснийском языке «potrazivanje dugovanja», что означает «взыскание долгов». Вредоносные документы запускают полезную нагрузку Spider, которая также написана на боснийском языке. Очевидно, что основными мишенями являются граждане Боснии и Герцеговины.

Сама полезная нагрузка представляет собой код макроса, который скрыт и тайно запускается/загружается в PowerShell. См. код ниже:

Изображение 4453
Нетскоп

Netskope еще больше проанализировал процесс заражения, заявив:

После загрузки полезных нагрузок сценарий PowerShell декодирует строку Base64 и выполняет операцию XOR с ключом «AlberTI» для декодирования окончательных полезных нагрузок, которые позже сохраняются в исполняемые файлы (.exe). Декодированные полезные нагрузки с именами «dec.exe» и «enc.exe», скомпилированные в.NET, копируются в каталог «%APPDATA%/Spider».

Вскоре все файлы на машине будут зашифрованы, и пользователи увидят следующее сообщение:

Изображение 10219
Нетскоп

Пользователи, если они решат заплатить выкуп, получают пошаговое руководство по расшифровке своих файлов, как показано ниже:

Изображение 10220
Нетскоп

Чтобы снизить риск заражения программой-вымогателем Spider, Netskope сначала рекомендует отключить макросы по умолчанию, а также проявлять осторожность с любыми вложениями (что является всего лишь здравым смыслом). В конечном счете, атака макропрограмм-вымогателей — это давняя проблема, которая продолжает всплывать, потому что она по-прежнему чрезвычайно эффективна. Единственный способ избавиться от таких программ-вымогателей, как Spider, — это научиться практиковать постоянную оборонительную позицию при использовании компьютера.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023