Otkriven novi kripto-malver: šifruje fajlove, krade lozinke i šalje emailove kontaktima žrtve
Opisi virusa, 28.08.2014, 08:20 AM
![Otkriven novi kripto-malver: šifruje fajlove, krade lozinke i šalje emailove kontaktima žrtve](/thumbs/v2_8096_rw.png)
Stručnjaci Avasta otkrili su novi kripto-malver koji se u ovom trenutku putem emailova isporučuje uglavnom korisnicima sa ruskog govornog područja a koji, pored onoga što uobičajeno rade slični malveri, krade email adrese kontakata žrtve da bi se dalje širio.
Žrtve dobijaju email u kome se od njih traži da pregledaju izmene u nekom ugovoru pre nego što potpišu dokument.
U emailu je zip fajl koji sadrži downloader koji preuzima nekoliko fajlova u %TEMP% i izvršava jedan od njih.
Fajlovi imaju ekstenziju .btc iako su u pitanju exe fajlovi.
Posle preuzimanja svih dostupnih alata, malver preuzima dokument koji je navodno onaj koji žrtva treba da pregleda i potpiše. Dokument, međutim, sadrži besmislene karaktere i poruku na engleskom da je dokument sačinjen uz pomoć novije verzije Microsoft Worda.
Dok korisnik gleda u dokument, payload paybtc.bat u pozadini već obavlja maliciozne aktivnosti koje uključuju proces šifrovanja fajlova na disku (*.xls, *.xlsx, *.doc, *.docx, *xlsm, *.dwg, *.svg, *.mdb, *.pdf, *.zip, *.rar, *.jpg i druge). Da bi se fajlovi vratili u prvobitno stanje, neophodno je imati cryptpay privatni ključ. Međutim, ovaj ključ je šifrovan HckTeam javnim ključem. Samo vlasnik privatnog HckTeam ključa može da ga dešifruje.
Kada završi sa šifrovanjem fajlova, malver kreira nekoliko kopija txt fajla sa porukom o otkupu. Napadači traže od žrtve da plati 140 evra. Od žrtve se traži da na email adresu ([email protected]) pošalje dva fajla, UNIQUE.PRIVATE i KEY.PRIVATE.
Da bi se širio, malver krade korisnička imena i lozinke korisnika iz browsera, izvlači informacije o kontaktima iz poslednjih 100 emailova i zatim tim kontaktima šalje emailove sa downloaderom sakrivenim u prilogu.
Korisnička imena i lozinke se takođe šalju napadačima i zatim testiraju na popularnim webmail servisima u Rusiji: Mail.ru i Yandex.
Zanimljivo je da se 100 emailova koje malver preuzima iz žrtvinog inboxa filtriraju i da se eliminišu oni koji su poslati automatski.
Zatim se kreira desetak verzija emailova, svaki sa linkom koji vodi do različitih fajlova sakrivenih u JavaScript downloaderu.
Malver koji sada ima lažni email sa malicioznim linkom, adrese na koje ga treba poslati i email adresu i lozinku pošiljaoca, dakle, sve što je potrebno za širenje, širi se koristeći program Blat koji je preimenovan u spoolsv.btc.
Poslednje što malver treba da uradi je da ukloni sve privremene fajlove.
Ovaj malver nije tipičan ransomware. Osim što koristi besplatne programe kao što je GPG (za šifrovanje), Email Extractor, Browser Password Dump (za izvlačenje lozinki iz browsera) i Blat (za slanje emailova), malver je neobičan i po tome što se automatski širi putem emailova.
Detaljniju analizu malvera možete naći na blogu kompanije Avast.
![Kaspersky](/s1n.jpg)
Izdvojeno
U toku je operacija čišćenja hiljade računara od malvera PlugX
![U toku je operacija čišćenja hiljade računara od malvera PlugX](/thumbs/v1_8836_screenshot-images.unsplash.com-2024.07.png)
Uoči Olimpijade, francuske vlasti čine sve da sa zaraženih uređaja u zemlji uklone malver PlugX koji se koristi za špijunažu. Operaciju sprovodi... Dalje
Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža
![Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža](/thumbs/v2_6340_philipp-katzenberger-iIJrUoeRoCQ-unsplash (9).jpg)
Malver FakeBat, takođe poznat i pod imenima EugenLoader i PaykLoader, je trenutno jedan od najrasprostranjenijih malvera iz grupe tzv. „loadera... Dalje
Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka
![Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka](/thumbs/v2_4639_pexels-padrinan-1591062.jpg)
Tim za istraživanje pretnji SonicWall Capture Labsa upozorava na napade u kojima se koristi malver StrelaStealer koji krade lozinke. Zanimljivo je da... Dalje
Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa
![Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa](/thumbs/v2_9428_sumudu-mohottige-bIgpii04UIg-unsplash (2).jpg)
Istraživači iz Malwarebytes Laba upozorili su na novu kampanju koju je njen kreator nazvao „Posejdon“, čije su mete korisnici Mac raču... Dalje
Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace
![Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace](/thumbs/v1_3266_GDATA_Badspace_InfectionChain.png)
Hakovani veb sajtovi se koriste za isporuku Windows backdoora pod nazivom BadSpace pod maskom lažnih ažuriranja pretraživača. Napadači koriste &b... Dalje
Pratite nas
Nagrade