Dharma: Ransomeware koji se krije iza antivirus alatke

09. 05. 2019. Milan Živković

Novi Dharma ransomware lanac koristi ESET AV za uklanjanje instalacija kao dimnu zavesu koja žrtvama odvlači pažnju dok se njihovi podaci enkriptuju u pozadini.

Ransomeware se distribuira preko mejl spam kampanja, te Dharma paketi do korisnika stižu u obliku dodataka u okviru mejlova koji su naslovljeni sa Defender.exe, te hostovani na hakovanom serveru link[.]fivetier[.]com. Jednom kada se Defender.exe pokrene u sistem distribuira stari ESET AV za uklanjanje programskih instalacija, naslovljen sa Defender_nt32_enu.exe, koji služi kao maska, te taskhost.exe koji se dodaje u C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\, te u pozadini počinje sa enkriptovanjem podataka. Eksperti ističu da će ransomeware početi sa enkriptovanjem fajlova žrtve čak i ako se ESET AV ne pokrene, budući da se malver i maska nalaze na različitim lokacijama, pa njihovo ponašanje nije povezano.

Praksa povezivanja nekog malvera sa legitimnim aplikacijama nije ništa novo, te je ESET AV Remover samo još jedna u nizu. Stručnjaci upozoravaju da bilo koja druga aplikacija može da se zloupotrebi na ovaj način, tako da su mogućnosti za maskiranje malicioznih programa skoro neograničene.

Pročitajte i: Dvojica tinejdžera uhapšena zbog ransomeware napada