Microsoft хвърли светлина върху четири различни семейства рансъмуер – KeRanger, FileCoder, MacRansom и EvilQuest – за които е известно, че влияят на системите на Apple macOS.

„Въпреки че тези семейства зловреден софтуер са стари, те са пример за обхвата на възможностите и злонамереното поведение, които са възможни в платформата“, заяви екипът Security Threat Intelligence на технологичния гигант в доклад от четвъртък.

Първоначалният вектор за тези семейства рансъмуер включва това, което производителят на Windows нарича „методи, подпомагани от потребителя“, при които жертвата изтегля и инсталира троянски приложения.

Алтернативно, той може да пристигне и като втори етап като полезен товар, който е пуснат от вече съществуващ зловреден софтуер на заразения хост или като част от атака по веригата за доставки.

Независимо от използвания начин на действие, атаките протичат по сходен начин, като извършителите разчитат на легитимни функции на операционната система и използват уязвимости, за да проникнат в системите и да криптират интересуващите ги файлове.

Това включва използването на помощната програма Unix find, както и библиотечни функции като opendir, readdir и closedir за изброяване на файлове. Друг метод, засегнат от Microsoft, но не възприет от щамовете на ransomware, включва интерфейса NSFileManager Objective-C.

Наблюдава се също така, че KeRanger, MacRansom и EvilQuest използват комбинация от хардуерни и софтуерни проверки, за да определят дали зловредният софтуер се изпълнява във виртуална среда в опит да се противопоставят на опитите за анализ и отстраняване на грешки.

 

KeRanger използва техника, известна като забавено изпълнение, за да избегне откриване. Той постига това, като при стартирането си „спи“ в продължение на три дни, преди да стартира своите зловредни функции.

Устойчивостта, която е от съществено значение, за да се гарантира, че злонамереният софтуер се изпълнява дори след рестартиране на системата, се установява с помощта на агенти за стартиране и опашки на ядрото, посочват от Microsoft.

Докато FileCoder използва помощната програма ZIP за криптиране на файлове, KeRanger използва AES криптиране в режим на верижно шифриране на блокове (CBC), за да постигне целите си. От друга страна, и MacRansom, и EvilQuest използват алгоритъм за симетрично криптиране.

EvilQuest, който беше разкрит за първи път през юли 2020г., допълнително надхвърля типичния ransomware, като включва и други трояноподобни функции, като например записване на клавиши, компрометиране на Mach-O файлове чрез инжектиране на произволен код и деактивиране на софтуер за сигурност.

Той също така включва възможности за изпълнение на всеки файл директно от паметта, като на практика не оставя следи от полезния товар на диска.

„Рансъмуерът продължава да бъде една от най-разпространените и въздействащи заплахи, засягащи организациите, като нападателите непрекъснато развиват своите техники и разширяват трафика си, за да обхванат по-широка мрежа от потенциални цели“, заявиха от Microsoft.

Източник: The Hacker News

Подобни публикации

23 януари 2025

Кибератаките влизат в топ 10 на рисковете за бъ...

Според Барометъра на риска на Алианц бизнесът в България определя к...
23 януари 2025

Тръмп помилва създателя на пазара на наркотици ...

Едва на втория ден от встъпването си в длъжност президентът Тръмп п...
23 януари 2025

Тръмп отменя правилата на Байдън за развитието ...

Президентът Доналд Тръмп отмени заповедта на бившия президент Джо Б...
22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
21/01/2025

Злоупотреба с услугите на M...

Наблюдавани са две отделни заплахи, които...
21/01/2025

Нарушаване на сигурността н...

Базираният в Калифорния гигант в областта...
Последно добавени
23/01/2025

Кибератаките влизат в топ 1...

Според Барометъра на риска на Алианц...
23/01/2025

Тръмп помилва създателя на ...

Едва на втория ден от встъпването...
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!