Подражающее вредоносное ПО злоупотребляет API Everything в Windows

Опубликовано автором

Специалисты Тренд Микро обнаружил новую программу-вымогатель Mimic, которая ищет файлы для шифрования с помощью поискового API Windows Everything. Зловред в основном нацелен на англо- и русскоязычных пользователей, а код Mimic имеет сходство с вымогателем Conti, исходный код которого был обнародован в марте 2022 года.

Имитационные атаки начинаются с того, что жертва получает по почте исполняемый файл, который извлекает четыре файла в целевой системе, включая основную полезную нагрузку программы-вымогателя, файлы поддержки и инструменты для отключения Защитника Windows.

Исследователи пишут, что Mimic — это универсальная программа-вымогатель, которая поддерживает аргументы командной строки для обнаружения определенных файлов, а также может использовать несколько потоков ЦП для ускорения процесса шифрования.

Вредоносная программа обладает рядом особенностей, типичных для современных инструментов-вымогателей, в том числе:

  • сбор информации о системе;
  • фиксация в системе клавишей RUN;
  • обход контроля учетных записей (UAC);
  • отключить Защитник Windows;
  • отключить телеметрию Windows;
  • меры защиты от закрытия;
  • меры защиты от удаления;
  • размонтировать виртуальные диски;
  • завершение процессов и сервисов;
  • отключить спящий режим и выключить систему;
  • устранение индикаторов;
  • запретить восстановление системы.

В отчете отмечается, что функция уничтожения процесса и службы направлена ​​на отключение защиты, которая позволяет разблокировать важные данные (например, базы данных), сделав их доступными для шифрования.

configuration

Создать приключенческую игру еще никогда не было так просто

Наиболее интересной особенностью Mimic эксперты называют злоупотребление функционалом Всепоисковик имени файла для Windows, разработанный Voidtools.

Программа-вымогатель использует все (Everything32.dll), доставляя DLL на компьютер жертвы на этапе заражения, чтобы найти определенные имена файлов и расширения в скомпрометированной системе. В результате Everything помогает Mimic находить файлы, подходящие для шифрования, избегая при этом системных файлов, которые могут быть повреждены и привести к тому, что система не загрузится.

everything abuse

Зашифрованные файлы-мимики получают расширение .QUIETPLACE, а примечание о выкупе содержит стандартные для таких вредоносных программ условия, то есть операторы вымогателей требуют от жертвы криптовалюту за расшифровку пораженных файлов.

Source

Эксперты рассказали, какие направления заменят Европу для туристов
ЧИТАТЬ  Поиск случайных утечек ключей API, паролей, заработанных токенов для всех пользователей GitHub