Les Fausses Mises à Jour Logicielles De Google Propagent Un Nouveau Ransomware

Les acteurs de la menace use de plus en plus de fausses mises à jour logicielles Microsoft and Google transfer the blocks of accounting malicious systems.

Le dernier exemple en date est “HavanaCrypt”, from the new product of the ransomware that les chercheurs de Trend Micro ont récently découvert dans la nature déguisé en application google Software Update. The malware’s command and control server (C2) is hosted on a Microsoft Web hosting IP address, which is somewhat rare for ransomware, according to Trend Micro.

According to the researchers, it is also worth noting the many techniques of HavanaCrypt to check if it works in a virtual environment? l’utilisation par le logiciel malveillant du code du gestionnion de clés open source KeePass Password Safe pending le cryptage? et son utilization d’une fonction .Net appelé “QueueUserWorkItem” pour acceller le cryptage. Trend Micro notes that the malware is probably a work in progress because it does not deposit a ransom note on the infected systems.

Publicity

HavanaCrypt fait partie d’un nombre croissant d’outils de ransomware et d’autre logiciels malveillants qui, ces derniers mois, ont été distribués sous la forme de fusses mises à jour pour Windows 10, Microsoft Exchangeet. En mai, des chercheurs en sécurité ont repéré un ransomware surnommé “ Magniber ” faisant le tour déguisé en mises à jour à jour Windows 10. Plus tôt cette année, des chercheurs de Malwarebytes ont observéstulestamagatenit. téléchargeant en habillant le malware comme un Mise à jour de Microsoft Edge.

Comme Malwarebytes l’a noté à l’époque, les fausses mises à jour Flash étaiten un élément uncontournable des campagnes de programiques malveillants based on the Web jusqu’à ce qu Adobe retires the final pour des technology. Depuis lors, les attaquants use fake versions of other software products frequently updated to try to encourage users to download their malicious software, les naviganttmbusl’squemé.

La création de fausses mises à jour logicielles est triviale pour les attaquants, ils ont donc tendance à les utiliser pour distributor toutes les classes de logiciels malveillants, y includre les ransomwares, les voleurations de ux d’aux. Intel 471 requires anonymous. “Un utilisateur non technology peut être trompé par de suche techniques, mais les analysts SOC ou les intervenants en cas d’incident ne seront probabilité pas dupes”, explique l’analiste.

The security experts note depuis longtemps the need for Organizations to put in place multi-layered defenses to defend themselves against ransomware and other threats. This includes controls for the detection and response of termination points, capabilities for monitoring the behavior of users and entities, segmentation of the network to minimize damage and limit damage. d’accès fort, y compris l’authentication multifacteur.

Étant given that adversaries often target end users, it is also essential that organizations put in place solid practices to educate users on the risks of phishing or to follow links to sites that collect identification information .

Comment fonctionne HavanaCrypt

HavanaCrypt is a .Net malware that will use an open-source tool called Obfuscar pour obscurcir son code. Une fois deployed sur un system, HavanaCrypt checks first and the registration “GoogleUpdate” est present sur le system et ne pursue sa routine que si le logiciel malveillant determine que le register n’est past prés.

The malicious software then passes through a four-step process to determine if the infected machine is in a virtualized environment. Tout d’abord, il verfier le system pour les services teles que VMWare Tools et vmmouse que les machines virtualles generally use. Ensuite, il recherche les fichiers linked aux applications virtualles, suivi d’une verification des noms de fichiers sécifiques utilisés dans les environnements virtuales. Finally, it compares the MAC address of infected systems with the prefixes of unique identifiers generally used in the parameters of the virtual machine. If one of the checks shows that the infected machine is in a virtual environment, the malicious software terminates itself, Trend Micro said.

Once HavanaCrypt determines that it is not running in a virtual environment, the malicious software recovers and executes a command file on the part of a C2 server hosted on a Web hosting service. The command file contains commands allowing Windows Defender to be configured to allow detected threats. The malware also has a long list of processes, many of which are linked to database applications such as SQL and MySQL or office applications such as Microsoft Office.

The next steps of HavanaCrypt include the suppression of snapshots on infected systems, the suppression of data recovery functions and the collection of system information such as processing, the suppression of data recovery functions and information collection systemème telles que lenom process the BIOS version. The logical exploit uses the QueueUserWorkItem font and code from KeePass Password Safe and the cadre du processus de cryptage.

“QueueUserWorkItem est une tech standard pour créer des pools de threads”, detailed l’analyste d’Intel 471. »

Avec KeePass, creator of the ransomware a copy of the code from the exit from the mots de passe traffic and a code that the ransomware uses. “Le code copié est utilised pour generate des clés de chiffrement pseudo-aléatoires”, note l’analyste. “If encryption keys were generated in a predictable and reproducible manner, it could be possible for malicious software researchers to develop decryption tools.” »

Use by the attacker of a service d’hébergement Microsoft pour le server C2 was met with evidence la tendance plus large des attaquants à cacher l’infrastructure malveillante dans des services légitimate pour écapar à la detection. “Il ya beaucoup de méchanceté hébergée dans des environnements cloud aujourd’hui, que ce soit Amazon, Google ou Microsoft et bien d’autres,” explained John Bambenek, chasseur de menace principal Chez Netenrich. « La nature hautement transitoire des environnements rend les systèmes de reputation inutiles. »

Leave a Comment