Dharma: Ransomeware koji se krije iza antivirus alatke

Novi Dharma ransomware lanac koristi ESET AV za uklanjanje instalacija kao dimnu zavesu koja žrtvama odvlači pažnju dok se njihovi podaci enkriptuju u pozadini.

Ransomeware se distribuira preko mejl spam kampanja, te Dharma paketi do korisnika stižu u obliku dodataka u okviru mejlova koji su naslovljeni sa Defender.exe, te hostovani na hakovanom serveru link[.]fivetier[.]com. Jednom kada se Defender.exe pokrene u sistem distribuira stari ESET AV za uklanjanje programskih instalacija, naslovljen sa Defender_nt32_enu.exe, koji služi kao maska, te taskhost.exe koji se dodaje u C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\, te u pozadini počinje sa enkriptovanjem podataka. Eksperti ističu da će ransomeware početi sa enkriptovanjem fajlova žrtve čak i ako se ESET AV ne pokrene, budući da se malver i maska nalaze na različitim lokacijama, pa njihovo ponašanje nije povezano.

Praksa povezivanja nekog malvera sa legitimnim aplikacijama nije ništa novo, te je ESET AV Remover samo još jedna u nizu. Stručnjaci upozoravaju da bilo koja druga aplikacija može da se zloupotrebi na ovaj način, tako da su mogućnosti za maskiranje malicioznih programa skoro neograničene.

Pročitajte i:  Morris Worm: Prvi veliki internet napad

Izvor: Bleeping Computer

Facebook komentari:

Vertiv

IT Edukacija
Tagovi: ,