Было замечено, что разновидность программы-вымогателя, известная как DJVU, распространяется в виде взломанного программного обеспечения.
"Хотя эта схема атаки не нова, были замечены инциденты, связанные с DJVU-программой, которая добавляет расширение .xaro к затронутым файлам и требует выкуп за дешифратор, заражающий системы наряду с множеством различных загрузчиков товаров и продавцов информации", - сказал исследователь Cybereason security Ральф Виллануэва.
Американская фирма по кибербезопасности присвоила новой версии кодовое название Xaro.
DJVU, сам по себе вариант программы-вымогателя STOP, обычно появляется на сцене под видом законных сервисов или приложений. Она также поставляется в качестве полезной нагрузки SmokeLoader.
Важным аспектом DJVU-атак является внедрение дополнительных вредоносных программ, таких как похитители информации (например, RedLine Stealer и Vidar), что делает их более вредоносными ПО своей природе.
В последней цепочке атак, задокументированной Cybereason, Xaro распространяется в виде архивного файла из сомнительного источника, который маскируется под сайт, предлагающий легальные бесплатные программы.
Открытие файла архива приводит к запуску предполагаемого двоичного файла установщика для программного обеспечения для написания PDF под названием CutePDF, которое на самом деле представляет собой платный сервис загрузки вредоносных программ, известный как PrivateLoader.
PrivateLoader, со своей стороны, устанавливает контакт с сервером командования и управления (C2) для получения широкого спектра семейств вредоносных программ-похитителей и загрузчиков, таких как RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig и Fabookie, в дополнение к удалению Xaro.
"Такой упрощенный подход к загрузке и выполнению обычного вредоносного ПО обычно наблюдается при заражении PrivateLoader, происходящем с подозрительных бесплатных сайтов или сайтов со взломанным программным обеспечением", - объяснил Вильянуэва.
По-видимому, целью является сбор и эксфильтрация конфиденциальной информации для двойного вымогательства, а также обеспечение успеха атаки, даже если одна из полезных нагрузок блокируется программным обеспечением безопасности.
Xaro, помимо создания экземпляра Vidar infostealer, способна шифровать файлы на зараженном хостинге, прежде чем отправлять записку с требованием выкупа, в которой жертве предлагается связаться с исполнителем угрозы и заплатить 980 долларов за закрытый ключ и инструмент дешифрования, цена которого снижается на 50% до 490 долларов, если обратиться в течение 72 часов.
Во всяком случае, это действие иллюстрирует риски, связанные с загрузкой бесплатных программ из ненадежных источников. В прошлом месяце Сукури подробно описал другую кампанию под названием FakeUpdateRU, в ходе которой посетителям скомпрометированных веб-сайтов рассылаются поддельные уведомления об обновлении браузера для доставки RedLine Stealer.
"Известно, что злоумышленники предпочитают бесплатные программы, маскирующиеся под способ скрытого развертывания вредоносного кода", - сказал Вильянуэва. "Скорость и широта воздействия на зараженные компьютеры должны быть тщательно изучены корпоративными сетями, стремящимися защитить себя и свои данные".
"Хотя эта схема атаки не нова, были замечены инциденты, связанные с DJVU-программой, которая добавляет расширение .xaro к затронутым файлам и требует выкуп за дешифратор, заражающий системы наряду с множеством различных загрузчиков товаров и продавцов информации", - сказал исследователь Cybereason security Ральф Виллануэва.
Американская фирма по кибербезопасности присвоила новой версии кодовое название Xaro.
DJVU, сам по себе вариант программы-вымогателя STOP, обычно появляется на сцене под видом законных сервисов или приложений. Она также поставляется в качестве полезной нагрузки SmokeLoader.
Важным аспектом DJVU-атак является внедрение дополнительных вредоносных программ, таких как похитители информации (например, RedLine Stealer и Vidar), что делает их более вредоносными ПО своей природе.
В последней цепочке атак, задокументированной Cybereason, Xaro распространяется в виде архивного файла из сомнительного источника, который маскируется под сайт, предлагающий легальные бесплатные программы.
Открытие файла архива приводит к запуску предполагаемого двоичного файла установщика для программного обеспечения для написания PDF под названием CutePDF, которое на самом деле представляет собой платный сервис загрузки вредоносных программ, известный как PrivateLoader.
PrivateLoader, со своей стороны, устанавливает контакт с сервером командования и управления (C2) для получения широкого спектра семейств вредоносных программ-похитителей и загрузчиков, таких как RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig и Fabookie, в дополнение к удалению Xaro.
"Такой упрощенный подход к загрузке и выполнению обычного вредоносного ПО обычно наблюдается при заражении PrivateLoader, происходящем с подозрительных бесплатных сайтов или сайтов со взломанным программным обеспечением", - объяснил Вильянуэва.
По-видимому, целью является сбор и эксфильтрация конфиденциальной информации для двойного вымогательства, а также обеспечение успеха атаки, даже если одна из полезных нагрузок блокируется программным обеспечением безопасности.
Xaro, помимо создания экземпляра Vidar infostealer, способна шифровать файлы на зараженном хостинге, прежде чем отправлять записку с требованием выкупа, в которой жертве предлагается связаться с исполнителем угрозы и заплатить 980 долларов за закрытый ключ и инструмент дешифрования, цена которого снижается на 50% до 490 долларов, если обратиться в течение 72 часов.
Во всяком случае, это действие иллюстрирует риски, связанные с загрузкой бесплатных программ из ненадежных источников. В прошлом месяце Сукури подробно описал другую кампанию под названием FakeUpdateRU, в ходе которой посетителям скомпрометированных веб-сайтов рассылаются поддельные уведомления об обновлении браузера для доставки RedLine Stealer.
"Известно, что злоумышленники предпочитают бесплатные программы, маскирующиеся под способ скрытого развертывания вредоносного кода", - сказал Вильянуэва. "Скорость и широта воздействия на зараженные компьютеры должны быть тщательно изучены корпоративными сетями, стремящимися защитить себя и свои данные".
