Търсене
Close this search box.

Разновидност на рансъмуера DJVU, наречена ‘Xaro’, се прикрива като пиратски софтуер

„Вариант на криптиращ  софтуер от типа рансъмуер, известен като DJVU, е установен да се разпространява под формата на пиратски софтуер.

„Въпреки че този метод на атака не е нов, инциденти, свързани с вариант на DJVU, който добавя разширение .xaro към засегнатите файлове и изисква откуп за дешифратор, са установени да заразяват системи заедно със множество различни зловредни програми за зареждане и извличане на информация,“ каза  изследователят на Cybereason, Ралф Вилануева.

Новият вариант е кодиран като Xaro от американската фирма.

DJVU, като сам по себе си вариант на рансъмуер STOP, обикновено се появява като легитимни услуги или приложения. Той също се доставя като част от пакет на SmokeLoader.

Значителна част от атаките с DJVU включва използването на допълнителен зловреден софтуер, като програми за извличане на информация (например, RedLine Stealer и Vidar), което ги прави по-вредни по своята природа.

В най-новата атака, описана от Cybereason, Xaro се разпространява като архивен файл от съмнителен източник, който се представя като сайт, предлагащ легитимен безплатен софтуер.

Отварянето на архивния файл води до изпълнението на  файл, предполагаемо за инсталация на софтуер за създаване на PDF на име CutePDF, който на практика е платена услуга за изтегляне на зловреден софтуер, известен като PrivateLoader.

PrivateLoader, от своя страна, установява контакт със сървър за контрол (C2), за да изтегли широка гама от зловредни програми за извличане и зареждане като RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig и Fabookie, освен да пусне Xaro.

„Този широк подход към изтеглянето и изпълнението на зловреден софтуер често се наблюдава при инфекции с PrivateLoader, произтичащи от подозрителни сайтове за безплатен софтуер или пиратство,“ обясни Вилануева.

Целта изглежда е да се събере и източи чувствителна информация за двойно  изнудване, както и да се гарантира успехът на атаката, дори ако един от зареждащите компоненти бъде блокиран от  софтуери за сигурност.

Xaro, освен че стартира екземпляр на извличащия информацията Vidar, може да криптира файлове в инфектираното хост устройство, преди да изпусне съобщение за откуп, насърчавайки жертвата да се свърже с хакерите и да плати 980 долара за личния ключ и инструмента за декодиране, цена, която пада на 490 долара, ако се свърже в рамките на 72 часа.

Всъщност, дейността илюстрира рисковете, свързани с изтеглянето на безплатен софтуер от недоверени източници. Миналия месец, Sucuri описа друга кампания, наречена FakeUpdateRU, при която посетителите на компрометирани уебсайтове са изложени на фалшиви известия за обновяване на браузъра, които са били предоставени за доставяне на RedLine Stealer.

„Хакерите са известни с това, че  предпочитат безплатни софтуери, маскирани като начин  тайно да разпространят зловреден софтуер,“ каза Вилануева. „Скоростта и обхвата на влиянието върху заразените машини трябва да бъдат внимателно разбрани от корпоративните мрежи, търсещи защита на себе си и своите данни.“

Източник: The Hacker News

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
Бъдете социални
Още по темата
18/04/2024

Болница в Кан с 869 легла и...

Болница „Симон Вейл“ в Кан (CHC-SV)...
18/04/2024

Akira ransomware е събрала ...

Според съвместна препоръка на ФБР, CISA,...
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!