Архив новостей

MS чистит блокеров в Европе

В ноябре Microsoft пополнила базу MRST (Malicious Software Removal Tool, средство удаления вредоносных программ) сигнатурами Win32/Weelsof ― обширного семейства троянских блокировщиков, обосновавшихся в Западной Европе и США.

Weelsof распространяется путем drive-by загрузок с зараженного сайта или с помощью эксплойт-паков и вредоносных iframe. При запуске он определяет версию ОС и создает свою копию с произвольным именем в папке %APPDATA% или %windir%. Затем производит модификации записей в системном реестре в обеспечение запуска этой копии при каждом старте Windows (включая безопасный режим). Наконец, подключается к стороннему узлу на порту 80 и загружает страницу-заставку с требованием выкупа, данные о географическом местоположении и IP-адрес зараженного компьютера.

После этого Weelsof приступает к основной части своей программы: блокирует доступ к рабочему столу и выводит во весь экран локализованную страницу с поддельным сообщением от местных блюстителей порядка, якобы обнаруживших на машине пиратский контент. «Правонарушителю» предлагается в кратчайшие сроки заплатить штраф, чтобы вернуть компьютер в рабочее состояние. По свидетельству экспертов, структура воспроизводимой зловредом страницы периодически меняется ― во избежание обнаружения. Уплата выкупа далеко не всегда дает желаемый эффект, посему уступать требованиям вымогателей не рекомендуется.

Обновленный MRST начал с усердием вычищать Weelsof на местах, и к концу ноября число этих детектов, фиксируемых защитными решениями Microsoft, уменьшилось вполовину. Большое количество локальных заражений Weelsof обнаружено в США и Германии (по 19% общей популяции), а также во Франции (15%), Великобритании (12%) и Голландии (8%).

MS чистит блокеров в Европе

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике