NOTĂ: Acest blog nu conţine advertoriale (articole sponsorizate/articole plătite), dar unele articole pot conține linkuri de afiliere. Susțineți acest blog cumpărând software prin aceste linkuri. Mulțumesc!
NOTE: This blog does not contain advertorials (sponsored articles/paid articles), but some articles may contain affiliate links. Support this blog by purchasing software through these links. Thank you!
Produsele Kaspersky Lab au detectat noi mostre malware din familia de troieni ransomware Rakhni. Principala caracteristică a acestui malware este aceea că poate alege modul în care își infectează victimele – fie cu un program de criptare, fie cu unul de mining.
Conform cercetătorilor companiei, malware-ul vizează în principal companiile și se răspândește mai ales în Rusia (95,57%). În plus, a fost detectat în Kazahstan (1,36%), Ucraina (0,57%), Germania (0,49%) și India (0,41%). Numai în decursul anului trecut, au fost atacați peste 8.000 de utilizatori cu troienii din familia Trojan-Downloader.Win32.Rakhni.
Distribuția malware-ului este realizată prin intermediul e-mail-urilor spam care au anexe ce conțin un executabil infectat. Când fișierul este deschis, executabilul este lansat. În acest moment, troianul decide cu ce va infecta PC-ul victimei. Malware-ul verifică existența unui director “%AppData%\Bitcoin”, care ar putea indica existența unui portofel de Bitcoin.
Potrivit cercetătorilor Kaspersky Lab, acest lucru duce la presupunerea că victimele vor plăti pentru a-și recupera fișierele, prin urmare troianul le criptează, ceea ce – teoretic – îi garantează atacatorului un profit rapid. În celălalt scenariu, infractorii vor încerca să „câștige” bani de la victimă, fără ca aceasta să observe, instalând un program de mining – cu condiția ca PC-ul să aibă o capacitate suficientă pentru astfel de acțiuni, care consumă numeroase resurse.
Este interesant de remarcat că troianul poate și să ignore cu desăvârșire dispozitivul infectat și să nu mai instaleze nici un criptor, nici un program de mining. Victima nu scapă, însă, nevătămată, pentru că va fi lansată funcționalitatea de „vierme” de rețea – de exemplu, troianul va încerca să distribuie copii tuturor computerelor disponibile în rețeaua locală a victimei.
„Faptul că malware-ul poate decide cum să infecteze victimele, este încă un exemplu că infractorii cibernetici încearcă să profite la maximum: fie direct, șantajându-le pentru a obține bani (programul de criptare), prin utilizarea neautorizată a resurselor (programul de mining), fie extinzând lanțul de distribuție a malware-ului, cu viermele de rețea”, spune Orkhan Mamedov, Malware Analyst, Kaspersky Lab.
Produsele Kaspersky Lab detectează acest malware cu următoarele verdicte:
- Downloader: Trojan-Downloader.Win32.Rakhni.pwc
- Miner: not-a-virus:RiskTool.Win32.BitCoinMiner.iauu
- Cryptor: Trojan-Ransom.Win32.Rakhni.wbrf
Detalii despre troianul Rakhni sunt disponibile în articolul de pe Securelist.