✔Малварь Mimic злоупотребляет возможностями Everything API в Windows - «Новости»

30 января 2023 350 Новости / Преимущества стилей / Отступы и поля / Заработок / Текст 0

Атаки Mimic начинаются с того, что жертва получает по почте исполняемый файл, который извлекает в целевую систему четыре файла, включая основную полезную нагрузку вымогателя, вспомогательные файлы и инструменты для отключения Windows Defender.

Исследователи пишут, что Mimic представляет собой универсальное вымогательское ПО, поддерживающее аргументы командной строки для обнаружения конкретных файлов, а также может использовать несколько потоков процессора для ускорения процесса шифрования.

Малварь обладает рядом возможностей, характерных для современных вымогательских инструментов, включая:

сбор информации о системе;

закрепление в системе при помощи ключа RUN;

обход User Account Control(UAC);

отключение Windows Defender;

отключение телеметрии Windows;

меры для защиты от отключения;

меры для защиты от удаления;

размонтирование виртуальных дисков;

завершение процессов и сервисов;

отключение спящего режима и выключение системы;

удаление индикаторов;

запрет на восстановления системы.

В отчете отмечается, что функция ликвидации процессов и служб направлена на отключение защиты, что позволяет освободить важные данные (например, базы данных), сделав их доступными для шифрования.

Наиболее интересной особенностью Mimic эксперты называют злоупотребление функциональностью Everything, filename-поисковика файлов в Windows, разработанного специалистами Voidtools.

Вымогатель использует возможности Everything (Everything32.dll), доставляя DLL на машину жертвы на этапе заражения, чтобы найти конкретные имен файлов и расширения в скомпрометированной системе. В результате Everything помогает Mimic находить файлы, подходящие для шифрования, избегая при этом системных файлов, порча которых может привести к невозможности загрузки системы.

Малварь Mimic злоупотребляет возможностями Everything API в Windows - «Новости»

Файлы, зашифрованные Mimic, получают расширение .QUIETPLACE, а записка с требованием выкупа содержит стандартные для такой малвари условия, то есть операторы вымогателя требуют у жертвы криптовалюту за расшифровку пострадавших файлов.

Специалисты Trend Micro обнаружили нового вымогателя Mimic, который ищет файлы для шифрования при помощи API поискового инструмента Everything в Windows. Малварь нацелена в основном на англо- и русскоязычных пользователей, а код Mimic имеет сходства с вымогателем Conti, исходники которого утекли в открытый доступ в марте 2022 года. Атаки Mimic начинаются с того, что жертва получает по почте исполняемый файл, который извлекает в целевую систему четыре файла, включая основную полезную нагрузку вымогателя, вспомогательные файлы и инструменты для отключения Windows Defender. Исследователи пишут, что Mimic представляет собой универсальное вымогательское ПО, поддерживающее аргументы командной строки для обнаружения конкретных файлов, а также может использовать несколько потоков процессора для ускорения процесса шифрования. Малварь обладает рядом возможностей, характерных для современных вымогательских инструментов, включая: сбор информации о системе; закрепление в системе при помощи ключа RUN; обход User Account Control(UAC); отключение Windows Defender; отключение телеметрии Windows; меры для защиты от отключения; меры для защиты от удаления; размонтирование виртуальных дисков; завершение процессов и сервисов; отключение спящего режима и выключение системы; удаление индикаторов; запрет на восстановления системы. В отчете отмечается, что функция ликвидации процессов и служб направлена на отключение защиты, что позволяет освободить важные данные (например, базы данных), сделав их доступными для шифрования. Наиболее интересной особенностью Mimic эксперты называют злоупотребление функциональностью Everything, filename-поисковика файлов в Windows, разработанного специалистами Voidtools. Вымогатель использует возможности Everything (Everything32.dll), доставляя DLL на машину жертвы на этапе заражения, чтобы найти конкретные имен файлов и расширения в скомпрометированной системе. В результате Everything помогает Mimic находить файлы, подходящие для шифрования, избегая при этом системных файлов, порча которых может привести к невозможности загрузки системы. Файлы, зашифрованные Mimic, получают расширение .QUIETPLACE, а записка с требованием выкупа содержит стандартные для такой малвари условия, то есть операторы вымогателя требуют у жертвы криптовалюту за расшифровку пострадавших файлов.

запостил(а)

Murray

Вернуться назад

Смотрите также

Исследователи измерили скорость работы шифровальщиков - «Новости»

Малварь маскируется под фейковые файлы Zipx - «Новости»

Малварь Vidar прячется в файлах справки Microsoft - «Новости»

Обнаружена малварь, скрывающаяся в журналах событий Windows - «Новости»

А что там на главной? )))

Комментарии )))

Комментарии для сайта Cackle

« Май 2024 »
Пн	Вт	Ср	Чт	Пт	Сб	Вс
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31