Actualizările false pentru aplicațiile Google răspândesc un nou ransomware

Infractorii cibernetici folosesc din ce în ce mai des actualizări false pentru aplicații precum Microsoft sau Google pentru a încerca să livreze programe malware către sistemele țintă.

Cel mai recent exemplu este HavanaCrypt, un nou tool ransomware descoperit recent, distribuit sub forma unei aplicații de actualizare pentru aplicațiile Google. Potrivit Trend Micro, serverul de comandă și control (C2) al malware-ului este găzduit pe o adresă IP a companiei Microsoft, ceea ce este oarecum neobișnuit pentru un ransomware.

HavanaCrypt face parte dintr-un număr tot mai mare de instrumente malițioase care au fost distribuite în ultimele luni sub forma unor actualizări false pentru Windows 10, Microsoft Exchange sau Google Chrome. Crearea de actualizări de software false este banală pentru atacatori, de aceea aceștia tind să le folosească pentru a distribui toate clasele de malware.

Experții în securitate cibernetică subliniază necesitatea unor sisteme de apărare pe mai multe niveluri în cadrul organizațiilor, pentru a crește nivelul de protecție împotriva ransomware și a altor amenințări. Deoarece persoanele rău-intenționate vizează adesea utilizatorii finali, este esențial pentru organizații implementarea unor programe de conștientizare cu scopul de educare a personalului privind riscurile phishing-ului și a altor tehnici de inginerie socială.

HavanaCrypt este un program malware de tip .Net care folosește un instrument open-source numit Obfuscar pentru a-și ascunde codul. Odată implementat pe un sistem, HavanaCrypt verifică mai întâi dacă registrul GoogleUpdate este prezent pe sistem și își continuă rutina numai dacă acest registru nu există.

Malware-ul trece apoi printr-un proces pentru a determina dacă dispozitivul infectat se află într-un mediu virtualizat. Odată ce HavanaCrypt stabilește că nu rulează într-un mediu virtual, malware-ul preia și execută un fișier de tip batch de pe un server C2 găzduit pe un server legitim al Microsoft. Fișierul batch conține comenzi pentru configurarea Windows Defender astfel încât acesta să permită rularea amenințărilor detectate. De asemenea, malware-ul oprește o listă lungă de procese, dintre care multe sunt legate de aplicații de baze de date precum SQL și MySQL sau de aplicații desktop precum Microsoft Office.

Utilizarea de către atacatori a unui serviciu de găzduire Microsoft pentru serverul C2 evidențiază tendința mai largă a atacatorilor de a ascunde infrastructura malițioasă în servicii legitime pentru a evita detectarea.

Sursă: https://www.darkreading.com/attacks-breaches/attacker-using-fake-google-software-update-to-distribute-new-ransomware