Thread: Новое вымогательское ПО маскируется под обновление Google
View Single Post
  #1  
Old 01-11-2025, 10:11 AM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

HavanaCrypt использует необычный способ шифрования данных, даже не требуя выкуп

Новая программа-вымогатель распространяется как поддельное обновление ПО Google и использует возможности Microsoft как часть своей атаки. Исследователи из Trend Micro обнаружили пакет программ-вымогателей HavanaCrypt, который представляет собой обновление ПО Google. Вредоносное ПО использует open-source обфускатор Obfuscar, предназначенный для защиты кода в сборке .NET. Для избежания обнаружения после запуска программа-вымогатель скрывает свое окно с помощью функции ShowWindow, присваивая ей параметр «0».
«Вредоносная программа также использует несколько методов защиты от виртуализации, которые помогают избежать динамического анализа при выполнении на виртуальной машине», — пишут исследователи.
По словам специалистов, вредоносное ПО может завершить свою работу, если обнаружит, что система работает в виртуальной среде. HavanaCrypt проверяет виртуальную машину в 4 этапа:
  • проверяет службы в виртуальной машине (VMware Tools и vmmouse);

  • ищет файлы, связанные с приложениями ВМ;

  • ищет имена файлов, используемых ВМ для их исполняемых файлов;

  • просматривает MAC-адрес системы и сравнивает его с префиксами уникального идентификатора организации (Organizationally Unique Identifier, OUI), используемыми ВМ.

Убедившись, что система жертвы не работает на виртуальной машине, HavanaCrypt загружает файл с IP-адреса службы веб-хостинга Microsoft, сохраняет его как пакетный файл и запускает. По словам специалистов Trend Micro, использование C2 сервера, входящего в состав службы веб-хостинга Microsoft, является новым методом атаки.
Вредоносная программа прерывает более 80 процессов, включая приложения баз данных, таких как Microsoft SQL Server и MySQL, а также настольных программ, таких как Office и Steam. Затем он удаляет теневые копии файлов.
Затем HavanaCrypt помещает свои исполняемые копии в папки «ProgramData» и «StartUp», делает их скрытыми системными файлами и отключает диспетчер задач. Вредоносное ПО также использует функцию QueueUserWorkItem в .NET, чтобы объединить угрозы для других полезных нагрузок и потоков шифрования.
HavanaCrypt собирает следующую информацию о системе:
  • количество ядер процессора;

  • идентификатор и название чипа;

  • производитель и название материнской платы;

  • номер продукта и версия BIOS.

Данные отправляются на C2 сервер злоумышленника, который является IP-адресом службы веб-хостинга Microsoft. Это позволяет избежать обнаружения. Для генерации случайных ключей HavanaCrypt использует функцию CryptoRandom в менеджере паролей KeePass Password Safe, добавляя расширение «.Havana» ​​к зашифрованным файлам. «HavanaCrypt также шифрует текстовый файл «foo.txt» и не оставляет записку с требованием выкупа. Это может указывать на то, что HavanaCrypt все еще находится в стадии разработки», - заключили исследователи.