Злоумышленники распространяют вымогательское ПО HavanaCrypt под видом обновлений от Google

[душман]

Злоумышленники всё чаще используют поддельные обновления программного обеспечения от Microsoft и Google для распространения вредоносов. Последним примером этого является шифровальщик-вымогатель HavanaCrypt, которого специалисты из компании Trend Micro недавно обнаружили замаскированным под пакет обновлений Google Software Update.

Новый вымогатель имеет ряд особенностей. Командно-контрольный сервер вредоноса использует IP-адрес веб-хостинга Microsoft, что нехарактерно для программ-вымогателей. Специалисты установили, что в арсенале HavanaCrypt имеется множество методов проверки того, запущен ли он в виртуальной среде. Для шифрования данных жертв вредонос использует функции менеджера паролей с открытым исходным кодом KeePass Password Safe, а для ускорения процесса шифрования применяется функция QueueUserWorkItem. 

По мнению специалистов Trend Micro, вредонос находится на стадии разработки, поскольку он не высылает на устройства жертв сообщения с требованием выкупа за расшифровку данных.HavanaCrypt пополнил список угроз, для распространения которых злоумышленники используют поддельные обновления. За последние несколько месяцев было зафиксировано несколько вредоносных кампаний, в рамках которых осуществлялось распространение шифровальщиков под видом обновлений для Windows 10, Microsoft Exchange и Google Chrome. 

Создание поддельных обновлений не составляет особого труда для злоумышленников, поэтому они используют такой метод для распространения всех классов вредоносного ПО, включая шифровальщиков-вымогателей, а также программ для кражи данных и слежки.

Что касается HavanaCrypt, то вредонос скомпилирован в .NET, а для обфускации кода он использует инструмент с открытым исходным кодом Obfuscar. После попадания в систему жертвы вредонос проверяет реестр на наличие записи GoogleUpdate и продолжает работать только в случае, если этой записи нет. Далее вредонос проходит четырёхэтапную проверку на определение виртуальной среды. Для этого он проверяет службы, которые обычно используются виртуальными машинами, а также ищет связанные с ними файлы. 

Кроме того, он сравнивает MAC-адрес заражённой системы с уникальными префиксами идентификаторов, которые обычно используются в настройках виртуальных машин. Если HavanaCrypt определяет, что находится в виртуальной среде, то его работа прекращается.

Если же вирус не распознаёт виртуальную среду, то на следующем этапе он отправляет запрос на сервер управления и получает от него пакетный файл с настройками для Windows Defender, чтобы антивирус не обнаруживал присутствие шифровальщика. Вместе с этим вредонос останавливает работу множества процессов, преимущественно связанных с приложениями для работы с базами данных SQL и MySQL, а также другими приложениями вроде Microsoft Office.