Программа-вымогатель TellYouThePass возвращается как кроссплатформенная угроза Golang

0
Объем сделок по слияниям и поглощениям в 2021 году достиг $85 млрд.

Программа-вымогатель TellYouThePass вновь появилась как вредоносное ПО, скомпилированное с помощью Golang, что упрощает атаку на другие операционные системы, в частности на macOS и Linux.

Возвращение этого штамма вредоносного ПО было замечено в прошлом месяце , когда злоумышленники использовали его в сочетании с эксплойтом Log4Shell для атаки на уязвимые машины.

Теперь отчет Crowdstrike проливает больше света на это возвращение, фокусируясь на изменениях на уровне кода, которые упрощают компиляцию для других платформ, кроме Windows.

Почему Голанг?

Golang — это язык программирования, впервые принятый авторами вредоносных программ в 2019 году из-за его кроссплатформенной универсальности.

Кроме того, Golang позволяет объединять библиотеки зависимостей в один двоичный файл, что приводит к меньшему объему связи с сервером управления и контроля (C2), тем самым снижая уровень обнаружения.

Кроме того, его легче изучать, чем другие языки программирования, например Python, и он оснащен современными инструментами отладки и подключаемыми модулями, которые упрощают процесс программирования.

Яркий пример успешных вредоносных программ написано в Golang является ботнет Glupteba, который был нарушен в прошлом месяце специалисты по безопасности Google.

Новые образцы TellYouThePass

Аналитики Crowdstrike сообщают о сходстве кода между образцами TellYouThePass для Linux и Windows на уровне 85%, демонстрируя минимальные корректировки, необходимые для запуска программы-вымогателя в разных операционных системах.

Одним из примечательных изменений в последних образцах программы-вымогателя является рандомизация имен всех функций, кроме «основной», которая пытается помешать анализу.

Перед запуском процедуры шифрования TellYouThePass убивает задачи и службы, которые могут поставить под угрозу процесс или привести к неполному шифрованию, например почтовые клиенты, приложения баз данных, веб-серверы и редакторы документов.

Кроме того, некоторые каталоги исключены из шифрования, чтобы предотвратить загрузку системы и, таким образом, упустить шанс получить оплату.

Записка о выкупе, оставленная в недавних заражениях TellYouThePass, требует 0,05 биткойна, что в настоящее время конвертируется примерно в 2150 долларов, в обмен на инструмент дешифрования.

Схема шифрования использует алгоритмы RSA-2014 и AES-256, а бесплатного дешифратора нет.

На данный момент образцы macOS не обнаружены.

Предыдущая статьяНовые обновления Windows KB5009543, KB5009566 прерывают соединения L2TP VPN
Следующая статьяПрограмма-вымогатель Magniber использует подписанные файлы APPX для заражения систем

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь