Nove pretnje: Dharma ransomware na prodaju
Izvorni kod ransomware lanca Dharma mogao bi da dođe do još većeg broja cyber kriminalaca, budući da je na prodaju i može da se nabavi za dve hiljade dolara.
Opaki virus na izvol’te
Sredinom 2019. godine moglo je da se čuje da Dharma ransomware lanac koristi ESET AV za uklanjanje instalacija kao dimnu zavesu koja žrtvama odvlači pažnju dok se njihovi podaci enkriptuju u pozadini. Ransomware se distribuira preko mejl spam kampanja, te Dharma paketi do korisnika stižu u obliku dodataka u okviru mejlova koji su naslovljeni sa Defender.exe, te hostovani na hakovanom serveru link[.]fivetier[.]com.
Jednom kada se Defender.exe pokrene u sistem distribuira stari ESET AV za uklanjanje programskih instalacija, naslovljen sa Defender_nt32_enu.exe, koji služi kao maska, te taskhost.exe koji se dodaje u C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\, i u pozadini počinje sa enkriptovanjem podataka. Eksperti ističu da će ransomeware početi sa enkriptovanjem fajlova žrtve čak i ako se ESET AV ne pokrene, budući da se malver i maska nalaze na različitim lokacijama, pa njihovo ponašanje nije povezano.
Praksa povezivanja nekog malvera sa legitimnim aplikacijama nije ništa novo, te je ESET AV Remover bila samo još jedna u nizu. Stručnjaci su još prošle godine upozorili da bilo koja druga aplikacija može da se zloupotrebi na ovaj način, tako da su mogućnosti za maskiranje malicioznih programa skoro neograničene. Opasnost se sada povećava, a zbog toga što bi izvorni kod mogao da dođe do velikog broja zlonamernih pojedinaca i organizacija, a dobra strana je to što do koda sada mogu da dođu i bezbednosni eksperti, zahvaljujući čemu bi mogli da lakše pronađu ključ za dekripciju.
Izvor: Naked Security