Новый вирус-вымогатель на Python через GitHub: тактика и защита

Новый вирус-вымогатель распространяется через GitHub — простая, но эффективная тактика

В условиях постоянного роста угроз кибербезопасности эксперты выявили появление нового вируса-вымогателя, который использует относительно простые механизмы заражения, но при этом демонстрирует высокую эффективность. Особое внимание вызывают методы распространения через общедоступный репозиторий на GitHub, что подчёркивает, насколько популярные платформы разработки могут стать инструментом для злоумышленников.

Механизм распространения и заражения

Данный вирус-вымогатель, написанный на Python, распространяется в виде iso-образа. После подключения образа пользователь видит папку с несколькими скриптами, а также защищённый паролем ZIP-архив, в котором содержится исполняемый файл вредоносной программы. Процесс заражения запускается через файл быстрого доступа Windows, который запускает скрипт, устанавливающий специальную переменную для последующего выполнения пакетного файла в свернутом окне — это позволяет маскировать активность вредоносного ПО.

Злоумышленники проводят манипуляции в реестре Windows, чтобы связать расширение файлов .hwy с вредоносной командой. Это обеспечивает автоматический запуск вредоносного ПО при открытии соответствующих файлов, способствуя сохранению и распространению инфекции.

Обход контроля учетных записей пользователей (UAC)

Ключевым элементом атаки является умелый обход UAC — контроля учётных записей пользователей. Для этого злоумышленники создают и выполняют запланированную задачу, которая запускает другой исполняемый файл с повышенными привилегиями. Такой подход позволяет обойти стандартные ограничения операционной системы и добиться выполнения вредоносного кода без подтверждения со стороны пользователя.

Процесс шифрования и защита ключей

После успешного заражения управление передаётся скрипту Visual Basic, который отвечает за шифрование пользовательских данных. Вредоносная программа сканирует указанные каталоги, выбирая файлы с расширением .iDCVObno, и шифрует их, используя гибридную криптографическую схему, сочетающую AES и RSA.

• Для симметричного шифрования применяется AES.
• Ключ AES инкапсулируется с помощью RSA с дополнением OAEP.
• В качестве алгоритма хэширования используется SHA-256.

Такое сочетание обеспечивает надежную защиту ключей шифрования и значительно осложняет процесс расшифровки данных без владения приватным ключом злоумышленников.

Деструктивные меры и визуальное давление на жертву

Вредоносное ПО также предпринимает действия, направленные на затруднение восстановления файлов. Оно удаляет теневые копии томов Windows и изменяет фон рабочего стола жертвы, отображая сообщение с требованиями выкупа. Стиль этого уведомления схож с теми, которые используют известные группировки программ-вымогателей, что усиливает психологическое давление на пострадавших.

Технологические особенности и тревожные тенденции

Для повышения переносимости и удобства распространения злоумышленники используют PyInstaller, упаковывая вредоносное ПО в единственный исполняемый файл, который не зависит от наличия интерпретатора Python на целевой системе.

Наблюдается тревожная тенденция: благодаря использованию подобных технологий и доступных ресурсов барьеры для создания и распространения программ-вымогателей значительно снижаются. Это требует от специалистов по кибербезопасности повышенного уровня бдительности — не только в отношении сложных, продуманных атак, но и по отношению к тем угрозам, которые базируются на _простых, но эффективных_ методах.

Данный кейс подчёркивает, что злоумышленники всё активнее используют общественные разработки и инструменты, а значит, внимание к таким каналам распространения должно стать приоритетом в стратегии защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.