Вредоносная программа-дроппер, маскировавшаяся под крэк, снова активно распространяется после периода затишья. При выполнении этой вредоносной программы пораженная система заражается одновременно множеством вредоносных программ. По сути, это вредоносная "бомба".
Muldrop Dropper
Вредоносные программы, замаскированные под крaки для коммерческого программного обеспечения, были широко распространены в формате "одиночных вредоносных программ" или "вредоносных программ-дропперов". Аналитическая группа ASEC внимательно следит за распространением таких вредоносных программ.
- Распространение различных типов угроз, замаскированных под загрузку программного обеспечения
- Распространяется новый информационный похититель, замаскированный под крaк
Вредоносная программа распространяется с вредоносных веб-сайтов, которые размещаются в верхней части страниц результатов поиска поисковых систем. Агент угрозы создал большое количество вредоносных сайтов, замаскированных под сайты загрузки кряков, используя различные ключевые слова, и когда пользователи нажимают кнопку "Загрузить" на этих страницах, они перенаправляются на страницу распространения вредоносной программы. Хотя вредоносная программа периодически меняет свой внешний вид, загружаемый файл остается защищенным паролем сжатым файлом.
С конца июня вредоносные программы типа "дроппер" исчезли из вышеописанного процесса распространения, и наиболее распространенным типом стали одиночные вредоносные программы ненормального размера. CryptBot, Vidar Stealer и Raccoon Stealer (RecordBreakerStealer) были наиболее часто распространяемыми вредоносными программами, и в неделю обнаруживалось около 100 новых образцов хэш-вредоносного ПО. Также были зафиксированы случаи распространения новых вредоносных программ, о которых ранее не сообщалось.
До сих пор вредоносные программы типа dropper не распространялись непосредственно с веб-страниц распространения, а иногда загружались с других вредоносных программ для исполнения. Однако в настоящее время они активно распространяются, используя веб-страницы распространения, замаскированные под страницы загрузки кряков, как и в прошлом.
При распаковке ZIP-файла, загруженного со страницы распространения, создается файл "install_setup.exe"(NSIS). Когда этот файл выполняется, он создает 7z SFX-файл в пути TEMP с именем "setup_installer.exe" перед его выполнением. Этот файл содержит от 10 до 15 вредоносных программ и загрузчик для их запуска. В результате все файлы вредоносных программ создаются и выполняются один за другим. Таким образом, пользователи должны быть особенно осторожны, поскольку их системы могут быть заражены сразу несколькими вредоносными программами.
Хотя в методе выполнения или типах вредоносных программ, включенных в файл, не произошло никаких серьезных изменений, в первые дни, когда вредоносная программа возобновила свое распространение, было отмечено несколько уникальных случаев, когда было либо только два файла вредоносной программы, либо дубликаты вредоносной программы с одинаковым хэшем. Судя по прошлым случаям распространения, они считаются либо ошибкой со стороны угрожающего субъекта, либо образцами для тестового распространения.
Indicators of Compromise
MD5
- 7769efb6d572c0ae6e542ecd7cbc4ee4
- 8a718060c076e93578ca8fb516991fdb
- c90fef418b5cc33bf216ea01897d4ad2
- d622d818487ce01a3c1b727a5328e80c
- fec3a3324d0bcdbef841072b91ae0eb4