Аналитический центр AhnLab SEcurity Intelligence Center (ASEC) сообщает о новом способе распространения вредоносного программного обеспечения (ПО), замаскированного под предупреждения о нарушении авторских прав и резюме. Ранее вредоносное ПО доставлялось через сжатые файлы с паролями, однако сейчас используется метод с внешними ссылками, побуждающими к загрузке.
По анализу было обнаружено, что вредоносное ПО распространяется через фишинговые письма с предупреждениями о нарушении авторских прав или предлагающие проверить резюме. Ссылки в таких письмах ведут к загрузке сжатого файла, в котором находится дополнительный архивный файл. Такая тактика позволяет обойти обнаружение антивирусами, основанными на настройках параметров сжатия.
При распаковке сжатого файла можно обнаружить два исполняемых файла - Vidar Infostealer и Beast ransomware. Beast ransomware шифрует исходные файлы, добавляя к их расширению пометку о выкупе. Vidar Infostealer, с другой стороны, собирает информацию о пользователе, включая данные браузера, файлы, номера карт и другую конфиденциальную информацию.
Программа Beast ransomware является эволюцией программы Monster ransomware и имеет два типа - один шифрует и сжимает исходные файлы, добавляя пометку о выкупе, а другой просто добавляет пометку о выкупе без сжатия файлов. Vidar Infostealer, с другой стороны, является вредоносной программой, сливающей информацию о пользователе и использующей публичные платформы, такие как Telegram и St.
Таким образом, эти два вредоносных ПО распространяются вместе через фишинговые письма, обманывающие пользователей с предупреждениями о нарушении авторских прав и предложениями проверки резюме. В результате пользователи подвергаются угрозе шифрования файлов и утечке конфиденциальной информации. Это подчеркивает важность особой осторожности при открывании и загрузке файлов с подозрительных источников и бдительности при обработке почты.
Indicators of Compromise
MD5
- 78cee04912b214f3436e3fed0c8a120f
- bbda482f1ecce55c24e1a444c03da58e
