یک خانواده باجافزار جدید در قالب بهروزرسانی جعلی نرمافزار Google ظهور کرده است. این باج افزار در بخشی از حمله خود از قابلیت های مایکروسافت استفاده میکند.
ورود باج افزار HavanaCrypt به بازار به عنوان یک به روز رسانی جعلی گوگل
مشکل در شناسایی، پنهان کردن پنجره آن با استفاده از تابع ShowWindow در ویندوز
یک خانواده باجافزار جدید در قالب بهروزرسانی جعلی نرمافزار Google ظهور کرده است. این باج افزار در بخشی از حمله خود از قابلیت های مایکروسافت استفاده میکند.
محققان Trend Micro میگویند که آخرین تهدیدی را که کشف کردهاند «HavanaCrypt» نام دارد و یک بسته باجافزاری است که خود را بهعنوان یک بهروزرسانی نرمافزار Google معرفی میکند، اگرچه یک برنامه کامپایلشده توسط .NET است.
چندین ویژگی تشخیص آن را دشوار میکند. این بدافزار از Obfuscar استفاده می کند، یک مبهم کننده open-source در .NET که برای ایمن سازی کدها در مجموعه .NET طراحی شده است.
پس از اولین اجرا، باج افزار پنجره خود را با استفاده از تابع ShowWindow در سیستم پنهان میکند و به آن پارامتر 0 میدهد.
محققان نوشتند: «این بدافزار همچنین دارای چندین تکنیک ضد مجازیسازی است که به آن کمک میکند هنگام اجرا در یک ماشین مجازی از تجزیه و تحلیل پویا جلوگیری کند.» همچنین اضافه کردند که اگر این بدافزار بفهمد که سیستم در محیط VM در حال اجرا است، خودش را نابود میکند.
این بررسی VM را در چهار مرحله اجرا میکند: بررسی سرویسهای موجود در ماشینهای مجازی مانند VMware Tools و vmmouse، جستجوی فایلهایی که معمولاً مربوط به برنامههای VM هستند و جستجوی نام فایلهایی که ماشینهای مجازی برای فایلهای اجرایی خود استفاده میکنند. در نهایت، بدافزار به آدرس MAC سیستم نگاه میکند و آن را با پیشوندهای شناسایی منحصربهفرد سازمانی (OUI) که معمولاً توسط ماشینهای مجازی استفاده میشود، مقایسه میکند.
هنگامی که HavanaCrypt تشخیص داد که سیستم قربانی در VM اجرا نمیشود، یک فایل را از آدرس IP سرویس میزبانی وب مایکروسافت دانلود میکند، آن را به عنوان یک فایل batch ذخیره میکند و سپس اجرا میکند. این بدافزار بیش از 80 فرآیند را خاتمه میدهد، از جمله آنهایی که بخشی از برنامههای مرتبط با پایگاه داده مانند Microsoft SQL Server و MySQL و همچنین نرم افزارهای دسکتاپ مانند Office و Steam هستند. سپس کپیهای سایه ای (shadow copy) از فایل ها را حذف میکند.
HavanaCrypt متعاقباً نسخههای اجرایی خود را در پوشههای «ProgramData» و «StartUp» قرار میدهد، آنها را فایلهای سیستمی مخفی میکند و Task Manager را غیرفعال میکند.
این باج افزار اطلاعات مربوط به سیستم - شناسه منحصر به فرد (UID) - را از تعداد هسته های پردازنده، شناسه و نام تراشه، سازنده و نام مادربرد، شماره محصول و نسخه BIOS جمع آوری میکند. همه اینها به سرور کنترل و فرمان (C2) بدافزار، که آدرس IP سرویس میزبانی وب مایکروسافت است، ارسال میشود. محققان Trend Micro نوشتند که استفاده از سرور C2 که بخشی از خدمات میزبانی وب مایکروسافت است غیرعادی است.
در طول رمزگذاری، HavanaCrypt از تابع CryptoRandom در KeePass Password Safe - یک ابزار مدیریت رمز عبور متنباز که بیشتر برای ویندوز استفاده میشود - برای تولید کلیدهای تصادفی استفاده میکند و پسوند "Havana." را به فایل های رمزگذاری شده اضافه میکند.
محققان نوشتند: «احتمال زیادی وجود دارد که نویسنده باجافزار قصد داشته باشد از طریق مرورگر Tor ارتباط برقرار کند، زیرا دایرکتوری Tor از جمله دایرکتوریهایی است که از رمزگذاری فایلها در آن اجتناب میکند. لازم به ذکر است که HavanaCrypt همچنین فایل متنی foo.txt را رمزگذاری می کند و یادداشت باجخواهی نمی دهد. این ممکن است نشان دهنده این باشد که HavanaCrypt هنوز در مرحله توسعه خود است.»
HavanaCrypt بخشی از هجوم رو به رشد خانوادههای باجافزار و حملات است. Trend Micro در سه ماهه اول بیش از 4.4 میلیون تهدید باجافزاری را که از طریق ایمیل، آدرسهای اینترنتی و لایههای فایل ارسال میشد، شناسایی و مسدود کرده است.
این شامل یک بهروزرسانی جعلی ویندوز است که باجافزار Magniber را توزیع میکند - تهدیدی که حداقل از سال 2017 وجود داشته است - و حملاتی که از بهروزرسانیهای جعلی مایکروسافت اج و مرورگر Google برای تحت فشار قرار دادن آسیبپذیری Magnitude استفاده میکنند.
