Новое вымогательское ПО маскируется под обновление Google
Новая программа-вымогатель распространяется как поддельное обновление ПО Google и использует возможности Microsoft как часть своей атаки. Исследователи из Trend Micro обнаружили пакет программ-вымогателей HavanaCrypt, который представляет собой обновление ПО Google. Вредоносное ПО использует open-source обфускатор Obfuscar, предназначенный для защиты кода в сборке .NET. Для избежания обнаружения после запуска программа-вымогатель скрывает свое окно с помощью функции ShowWindow, присваивая ей параметр «0».
«Вредоносная программа также использует несколько методов защиты от виртуализации, которые помогают избежать динамического анализа при выполнении на виртуальной машине», — пишут исследователи.
По словам специалистов, вредоносное ПО может завершить свою работу, если обнаружит, что система работает в виртуальной среде. HavanaCrypt проверяет виртуальную машину в 4 этапа:
проверяет службы в виртуальной машине (VMware Tools и vmmouse);
ищет файлы, связанные с приложениями ВМ;
ищет имена файлов, используемых ВМ для их исполняемых файлов;
просматривает MAC-адрес системы и сравнивает его с префиксами уникального идентификатора организации (Organizationally Unique Identifier, OUI), используемыми ВМ.
Убедившись, что система жертвы не работает на виртуальной машине, HavanaCrypt загружает файл с IP-адреса службы веб-хостинга Microsoft, сохраняет его как пакетный файл и запускает. По словам специалистов Trend Micro, использование C2 сервера, входящего в состав службы веб-хостинга Microsoft, является новым методом атаки.
Вредоносная программа прерывает более 80 процессов, включая приложения баз данных, таких как Microsoft SQL Server и MySQL, а также настольных программ, таких как Office и Steam. Затем он удаляет теневые копии файлов.
Затем HavanaCrypt помещает свои исполняемые копии в папки «ProgramData» и «StartUp», делает их скрытыми системными файлами и отключает диспетчер задач. Вредоносное ПО также использует функцию QueueUserWorkItem в .NET, чтобы объединить угрозы для других полезных нагрузок и потоков шифрования.
HavanaCrypt собирает следующую информацию о системе:
количество ядер процессора;
идентификатор и название чипа;
производитель и название материнской платы;
номер продукта и версия BIOS.
Данные отправляются на C2 сервер злоумышленника, который является IP-адресом службы веб-хостинга Microsoft. Это позволяет избежать обнаружения. Для генерации случайных ключей HavanaCrypt использует функцию CryptoRandom в менеджере паролей KeePass Password Safe, добавляя расширение «.Havana» к зашифрованным файлам. «HavanaCrypt также шифрует текстовый файл «foo.txt» и не оставляет записку с требованием выкупа. Это может указывать на то, что HavanaCrypt все еще находится в стадии разработки», — заключили исследователи.