Lažno Windows 10 ažuriranje isporučuje Cyborg ransomware!
Ako vam na email stigne obaveštenje o Windows ažuriranju, ignorišite ga!
U toku je maliciozna kampanja koja preko lažnih Windows ažuriranja isporučuje Cyborg ransomware. Naslov email poruke je Install Latest Microsoft Windows Update now! ili Critical Microsoft Windows Update! Naravno, ovo bi trebalo da vam bude sumnjivo zato što Microsoft uvek šalje ažuriranja kroz operativni sistem, a nikada preko emaila.
Maliciozna poruka sadrži samo jednu rečenicu, odnosno molbu da se instalira kritično ažuriranje iz atačmenta: “Please install the latest critical update from Microsoft attached to this email”. Lažno ažuriranje ima .jpg ekstenziju, ali je u stvari u pitanju izvršni .exe fajl, a ne slika. Izvršni fajl je maliciozni .NET preko koga napadači isporučuju malver u zaraženi sistem.
Slika 1. Email sa lažnim Windows ažuriranjem. Izvor slike: Trustwave.
Cyborg ransomware
Klikom na atačment, sakriveni izvršni fajl preuzima fajl pod imenom bitcoingenerator.exe sa GitHub naloga misterbtc2020. Kao i sam atačment, ovaj fajl je .NET malver poznat kao Cyborg ransomware. Cyborg zaključava sve fajlove na računaru korisnika i dodaje im svoju ekstenziju .777, a na desktopu ostavlja poruku o otkupnini u fajlu Cyborg_DECRYPT.txt. Na kraju, ransomware ostavlja svoju kopiju bot.exe sakrivenu u rootu zaraženog diska.
Na sajtu VirusTotal postoje 3 varijante ovog malvera, a builder je dostupan online. Na GitHub nalogu pod imenom Cyborg-Ransomware se nalazi skladište sa njegovim kodom, kao i link ka ruskoj verziji.
Šta je najveća opasnost koju nosi Cyborg ransomware? Upravo to što ga svako ko pronađe builder može napraviti i distribuirati. Može se koristiti za različite spam kampanje (poput ove sa lažnim Windows ažuriranjem) i u različitim formama kako bi izbegao detekciju. Takođe, napadači mogu da mu dodaju ekstenziju nekog drugog ransomwara kako bi zavarali žrtvu.
Izvor: Tech Radar