Злоумышленники всё чаще используют поддельные обновления программного обеспечения от Microsoft и Google для распространения вредоносов. Последним примером этого является шифровальщик-вымогатель HavanaCrypt, которого специалисты из компании Trend Micro недавно обнаружили замаскированным под пакет обновлений Google Software Update.
Новый вымогатель имеет ряд особенностей. Командно-контрольный сервер вредоноса использует IP-адрес веб-хостинга Microsoft, что нехарактерно для программ-вымогателей. Специалисты установили, что в арсенале HavanaCrypt имеется множество методов проверки того, запущен ли он в виртуальной среде. Для шифрования данных жертв вредонос использует функции менеджера паролей с открытым исходным кодом KeePass Password Safe, а для ускорения процесса шифрования применяется функция QueueUserWorkItem. По мнению специалистов Trend Micro, вредонос находится на стадии разработки, поскольку он не высылает на устройства жертв сообщения с требованием выкупа за расшифровку данных.
HavanaCrypt пополнил список угроз, для распространения которых злоумышленники используют поддельные обновления. За последние несколько месяцев было зафиксировано несколько вредоносных кампаний, в рамках которых осуществлялось распространение шифровальщиков под видом обновлений для Windows 10, Microsoft Exchange и Google Chrome. Создание поддельных обновлений не составляет особого труда для злоумышленников, поэтому они используют такой метод для распространения всех классов вредоносного ПО, включая шифровальщиков-вымогателей, а также программ для кражи данных и слежки.
Что касается HavanaCrypt, то вредонос скомпилирован в .NET, а для обфускации кода он использует инструмент с открытым исходным кодом Obfuscar. После попадания в систему жертвы вредонос проверяет реестр на наличие записи GoogleUpdate и продолжает работать только в случае, если этой записи нет. Далее вредонос проходит четырёхэтапную проверку на определение виртуальной среды. Для этого он проверяет службы, которые обычно используются виртуальными машинами, а также ищет связанные с ними файлы. Кроме того, он сравнивает MAC-адрес заражённой системы с уникальными префиксами идентификаторов, которые обычно используются в настройках виртуальных машин. Если HavanaCrypt определяет, что находится в виртуальной среде, то его работа прекращается.
Если же вирус не распознаёт виртуальную среду, то на следующем этапе он отправляет запрос на сервер управления и получает от него пакетный файл с настройками для Windows Defender, чтобы антивирус не обнаруживал присутствие шифровальщика. Вместе с этим вредонос останавливает работу множества процессов, преимущественно связанных с приложениями для работы с базами данных SQL и MySQL, а также другими приложениями вроде Microsoft Office.
После этого HavanaCrypt удаляет бэкапы и нарушает работоспособность функций, с помощью которых их можно было бы попытаться восстановить. Для шифрования используется код менеджера паролей KeePass, а для ускорения процесса функция QueueUserWorkItem. Код из KeePass применяется для генерации псевдослучайных ключей шифрования. Это делается для того, чтобы усложнить разработку инструмента для дешифровки данных. Использование хостинга Microsoft для размещения сервера управления вредоносом подчёркивает стремление злоумышленников прятать свою инфраструктуру в легитимных сервисах, чтобы избежать обнаружения. Специалисты отмечают, что в настоящее время в облачных пространствах размещается огромное количество вредоносного ПО.
