______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

GandCrab распространяется вместе с похитителем данных Vidar

Специалисты из компании Malwarebytes зафиксировали вредоносную кампанию, в ходе которой на компьютер жертвы внедряется программа для похищения информации Vidar, а позже устанавливается шифровальщик GandCrab.

Злоумышленники крадут учетные данные цифровых кошельков, сохраненные в браузере пароли и другие сведения, после чего кодируют пользовательские файлы для получения выкупа. Комплект зловредов имеет географические ограничения и не атакует компьютеры в России, Белоруссии и других постсоветских странах.

Цепочка заражения начинается с вредоносных сайтов, куда жертву перенаправляет реклама, размещенная на стриминговых ресурсах и торрент-площадках. Авторы атаки используют эксплойт-пак Fallout, чтобы установить Vidar, который обращается к C&C-серверу за конфигурацией и дополнительными библиотеками. Панель управления зловреда позволяет киберпреступникам настраивать состав похищаемой информации, а также загружать в инфицированную систему другие программы.

Vidar передает украденные сведения через незашифрованный запрос HTTP POST, после чего доставляет на компьютер исполняемый файл шифровальщика GandCrab версии 5.0.4. По информации специалистов, вредоносному дуэту требуется примерно минута для заражения устройства и полного кодирования пользовательских файлов. Для этого релиза вымогателя пока не существует декриптора — выложенная на сайте NoMoreRansom утилита устраняет последствия работы лишь GandCrab 5.0.2 и более ранних сборок.

Один из самых опасных шифровальщиков современности распространяется по модели RaaS, предполагающей аренду вредоносного ПО злоумышленниками. В связи с этим штаммы GandCrab могут доставляться на целевые устройства разными эксплойт-паками в комплекте с другими программами по выбору киберпреступников.

Vidar при этом распространяется на коммерческой основе и продается в даркнете по цене $700. Программу описал ИБ-специалист с псевдонимом fumik0 24 декабря 2018 года. Эксперты указывают на схожесть его исходного кода с трояном Arkei, но отмечают, что новый штамм обладает более широким набором функций.

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх