Контакты
Подписка
МЕНЮ
Контакты
Подписка

Российских пользователей атакует необычный троян, который сам выбирает более выгодный способ атаки

Российских пользователей атакует необычный троян, который сам выбирает более выгодный способ атаки

Российских пользователей атакует необычный троян, который сам выбирает более выгодный способ атаки


06.07.2018



Эксперты "Лаборатории Касперского" обнаружили необычную версию загрузчика Rakhni, которая оценивает возможность получения прибыли и в зависимости от конфигурации системы загружает на инфицированные устройства либо вымогательское ПО, либо майнер криптовалюты.

 Вредонос Rakhni написан на языке Delphi и распространяется довольно стандартным способом - посредством фишинговых писем с прикрепленным вредоносным документом Microsoft Word. Файл включает значок PDF, при нажатии на который запускается вредоносный исполняемый файл и на экране немедленно появляется сообщение об ошибке, объясняющее жертве, почему не запустился документ PDF.

 C целью остаться незамеченным dредонос проводит разнообразные проверки. Решение о загрузке шифровальщика или майнера зависит от наличия папки %AppData%Bitcoin. При ее наличии загрузчик скачает шифровальщик. В противном случае (при условии, что компьютер использует более двух логических процессоров) будет загружен майнер. Если на устройстве нет вышеуказанной папки и на компьютере доступен только один логический процессор, загрузчик сразу переходит к компоненту-червю для обеспечения запуска после перезагрузки устройства.

 В целях замаскировать майнер под легитимный процесс с помощью утилиты CertMgr.exe вредоносная программа устанавливает фальшивые корневые сертификаты, якобы подписанные Microsoft и Adobe Systems.

 По данным исследователей, основной целью атак Rakhni являются Россия (95,57% случаев), Казахстан (1,36%) и Украина (0,57%). Случаи заражения также были зафиксированы в Германии (0,49%) и в Индии (0,41%).

 

Securitylab