Новый вымогатель через PowerShell и GitHub: Анализ угрозы
Источник: www.sonicwall.com
Новый вариант программы-вымогателя использует PowerShell и GitHub для эффективного распространения
Недавно был выявлен новый вариант программы-вымогателя, который демонстрирует развитие методов распространения и скрытности вредоносного ПО. В центре атаки — использование PowerShell и платформы GitHub, в частности домена raw.githubusercontent.com, для хранения и загрузки необходимых скриптов и исполняемых файлов.
Механизм заражения
Заражение начинается с рассылки жертве архивного файла по электронной почте. Внутри архива находится вредоносный файл LNK (ярлык Windows), который маскируется под привычный текстовый файл блокнота. Однако при запуске этот LNK указывает на powershell.exe с аргументами, настроенными на выполнение вредоносных команд.
После активации, ярлык загружает скрытый скрипт PowerShell по указанному URL, размещённому на GitHub. Этот скрипт отвечает за шифрование пользовательских данных в различных подкаталогах профиля, включая следующие места:
- Рабочий стол (Desktop);
- Загрузки (Downloads);
- Документы (Documents).
Особенности шифрования
Программа-вымогатель создаёт случайный 16-байтовый ключ шифрования AES, который затем шифруется с помощью заранее встроенного в скрипт открытого ключа RSA. Таким образом достигается надёжное хранение ключей и усложняется процесс дешифровки без владения приватным ключом злоумышленников.
Для минимизации сбоев в работе операционной системы и сохранения функциональности, вредоносное ПО избегает шифрования критически важных файлов, таких как:
- .exe;
- .lnk;
- .dll;
- и другие системные файлы.
Все зашифрованные файлы получают расширение .ENCRYPT. В основе шифрования лежит алгоритм AES в режиме CBC (Cipher Block Chaining), который обеспечивает высокую стойкость и безопасность данных.
Зашифрованные файлы содержат специальный заголовок, включающий:
— время выполнения операции;
— зашифрованный ключ AES;
— вектор инициализации (IV);
— непосредственно зашифрованное содержимое файла.
Дополнительные тактики обмана и обеспечение устойчивости
В с целью обмана пользователя, в каталоге «Загрузки» создаётся текстовый файл-приманка, который внешне выглядит как легитимный. Это снижает сомнения жертвы и усложняет обнаружение вредоносной активности.
Для обеспечения постоянства работы вредоносного кода, программа-вымогатель создаёт запланированную задачу с именем «RunDoBgTask», которая регулярно запускает PowerShell. Это позволяет внедрять и запускать дополнительные компоненты, например, decryptor.exe, что делает атаку более сложной и эффективной.
Выводы экспертов
Подобное использование популярных инструментов и сервисов, как PowerShell и GitHub, для распространения вредоносного ПО демонстрирует рост эволюционной изощрённости атак в киберпространстве. Это повышает эффективность атак, затрудняет обнаружение и снижает шансы на немедленное реагирование.
Программа-вымогатель комбинирует современные методы скрытого выполнения, криптографические практики и софистицированные техники поддержания присутствия в системе, что требует от специалистов повышенного внимания и адаптации средств защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
