Последнее исследование ThreatLabz выявило очень сложную кампанию вредоносного ПО, использующую отрасли с авторитетными страницами LinkedIn для атак на жертв, включая Филиппинскую компанию по производству промышленного оборудования и несколько организаций в Бразилии. Злоумышленники начинают атаку на пользователей, которые переходят на веб-сайт LinkedIn с сайта взломанной компании, используя многоступенчатые методы и маскируя вредоносное ПО под обновления браузера, чтобы обмануть пользователей.
- Stealer-as-a-Ransomware: анализируемая вредоносная программа обладает двойными возможностями - как кража и как выкупное ПО, что представляет собой тревожную эволюцию в атаках на выкупное ПО. Она использует методы обфускации и использует HTTPS для передачи команд и управления, что затрудняет обнаружение и анализ.
- Многоэтапное выполнение: Вредоносная программа действует в несколько этапов, начиная с выполнения замаскированных вредоносных исполняемых файлов. Она устанавливает постоянство, взаимодействует с DNS-серверами и загружает дополнительную полезную нагрузку из удаленных мест. Подозрительное взаимодействие с FTP указывает на возможность утечки данных и несанкционированной загрузки файлов.
- Функциональность Ransomware: Вредоносная программа включает модули ransomware, которые шифруют данные пользователя с расширением ".FACKOFF!", делая их недоступными до получения выкупа. Он также изменяет файл desktop.ini, чтобы избежать обнаружения, и изменяет настройки отображения папок файловой системы.
- Удаление данных теневого диска: На последней стадии вредоносная программа удаляет данные теневого диска и планы резервного копирования Windows, усиливая характеристики вымогательского ПО. Она сбрасывает пакетный файл и записку с требованием выкупа, требуя оплаты в обмен на расшифровку файла.
Indicators of Compromise
Domains
- 2no.co
URLs
- www.igrejaatos2.org/assets/programs/setupbrowser.exe
MD5
- 642dbe8b752b0dc735e9422d903e0e97
- cb533957f70b4a7ebb4e8b896b7b656c
- fb7883d3fd9347debf98122442c2a33e
