Dharma: Ransomeware koji se krije iza antivirus alatke
Novi Dharma ransomware lanac koristi ESET AV za uklanjanje instalacija kao dimnu zavesu koja žrtvama odvlači pažnju dok se njihovi podaci enkriptuju u pozadini.
Ransomeware se distribuira preko mejl spam kampanja, te Dharma paketi do korisnika stižu u obliku dodataka u okviru mejlova koji su naslovljeni sa Defender.exe, te hostovani na hakovanom serveru link[.]fivetier[.]com. Jednom kada se Defender.exe pokrene u sistem distribuira stari ESET AV za uklanjanje programskih instalacija, naslovljen sa Defender_nt32_enu.exe, koji služi kao maska, te taskhost.exe koji se dodaje u C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\, te u pozadini počinje sa enkriptovanjem podataka. Eksperti ističu da će ransomeware početi sa enkriptovanjem fajlova žrtve čak i ako se ESET AV ne pokrene, budući da se malver i maska nalaze na različitim lokacijama, pa njihovo ponašanje nije povezano.
Praksa povezivanja nekog malvera sa legitimnim aplikacijama nije ništa novo, te je ESET AV Remover samo još jedna u nizu. Stručnjaci upozoravaju da bilo koja druga aplikacija može da se zloupotrebi na ovaj način, tako da su mogućnosti za maskiranje malicioznih programa skoro neograničene.
Izvor: Bleeping Computer
