Последний вариант программы-вымогателя DJVU «Xaro», замаскированный под взломанное программное обеспечение

29 ноября 2023 г.Отдел новостейПрограммы-вымогатели/киберугрозы

Было замечено, что вариант штамма программы-вымогателя, известный как DJVU, распространяется в виде взломанного программного обеспечения.

«Хотя эта схема атаки не нова, были замечены инциденты, связанные с вариантом DJVU, который добавляет расширение .xaro к затронутым файлам и требует выкуп за дешифратор, заражая системы наряду с множеством различных загрузчиков товаров и информационных воров», — исследователь безопасности Cybereason Ральф Вильянуэва. сказал.

Новый вариант получил кодовое название Xaro от американской фирмы по кибербезопасности.

DJVU, сам по себе вариант программы-вымогателя STOP, обычно появляется на месте происшествия под видом законных служб или приложений. Он также поставляется в виде полезной нагрузки ДымЗагрузчик.

Важным аспектом атак DJVU является внедрение дополнительных вредоносных программ, таких как программы для кражи информации (например, RedLine Stealer и Vidar), что делает их более разрушительными по своей природе.

В последней цепочке атак, задокументированной Cybereason, Xaro распространяется как архивный файл из сомнительного источника, который маскируется под сайт, предлагающий законное бесплатное ПО.

Открытие архивного файла приводит к выполнению предполагаемого двоичного файла установщика для программного обеспечения для записи PDF-файлов под названием CutePDF, которое на самом деле представляет собой службу загрузки вредоносных программ с оплатой за установку, известную как Частный загрузчик.

PrivateLoader, со своей стороны, устанавливает контакт с сервером управления и контроля (C2) для загрузки широкого спектра семейств вредоносных программ-стилеров и загрузчиков, таких как RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig и Fabookie, помимо отказа от Ксаро.

«Подобный подход к загрузке и запуску обычных вредоносных программ обычно наблюдается при инфекциях PrivateLoader, происходящих с подозрительных бесплатных или взломанных сайтов», — пояснил Вильянуэва.

Судя по всему, цель состоит в том, чтобы собрать и получить конфиденциальную информацию для двойного вымогательства, а также обеспечить успех атаки, даже если одна из полезных нагрузок будет заблокирована защитным программным обеспечением.

Xaro, помимо создания экземпляра информационного вора Vidar, способен шифровать файлы на зараженном хосте, прежде чем отправить записку о выкупе, призывая жертву связаться с злоумышленником и заплатить 980 долларов за закрытый ключ и инструмент для дешифрования. цена, которая упадет на 50% до 490 долларов, если подойти к ней в течение 72 часов.

Во всяком случае, эта деятельность иллюстрирует риски, связанные с загрузкой бесплатного программного обеспечения из ненадежных источников. В прошлом месяце Сукури подробно рассказал о другой кампании под названием FakeUpdateRU где обслуживаются посетители взломанных веб-сайтов поддельные уведомления об обновлении браузера доставить RedLine Stealer.

«Известно, что злоумышленники предпочитают маскировку бесплатного ПО как способ скрытного развертывания вредоносного кода», — сказал Вильянуэва. «Корпоративные сети, стремящиеся защитить себя и свои данные, должны тщательно понимать скорость и масштабы воздействия на зараженные машины».