Новости Новый вымогатель Mimic эксплуатирует код популярной поисковой утилиты

NewsMaker

I'm just a script
Премиум
13,857
20
8 Ноя 2022

Вредонос точечно отключает системные процессы и шифрует пользовательские файлы.​


zpd3gyo6aha4w0fo3s9te6d3xrmsja07.jpg


Исследователи безопасности Trend Micro Для просмотра ссылки Войди или Зарегистрируйся новый подвид вымогателей, который они назвали Mimic. Вирус использует API-интерфейсы сторонней поисковой программы для Windows под названием «Для просмотра ссылки Войди или Зарегистрируйся ».

Вредоносная программа была впервые замечена специалистами ещё в июне 2022 года. По-видимому, она нацелена в основном на англоязычных и русскоязычных пользователей. А часть её кода имеет сходство с программой-вымогателем Conti.

Атака Mimic начинается с того, что жертва получает исполняемый файл, предположительно по электронной почте. Этот файл извлекает ещё четыре файла в целевой системе: основную Для просмотра ссылки Войди или Зарегистрируйся , вспомогательные файлы и инструменты для отключения защитника Windows.


hslyqjqy281tih6c0km4i1wp5rfcsvfk.png


Файлы, которые оставляет Mimic во взломанной системе Mimic обладает следующими возможностями:

  • Сбор системной информации;
  • Обход контроля учетных записей пользователей (UAC);
  • Отключение защитника Windows;
  • Отключение телеметрии Windows;
  • Активация мер защиты от отключения и удаления вредоноса;
  • Размонтирование виртуальных дисков;
  • Завершение процессов и служб;
  • Отключение спящего режима и завершение работы системы;
  • Удаление индикаторов;
  • Препятствие восстановлению системы.

Достигается такой обширный список вредоносных действий путём отключения некоторых системных процессов Windows. Так вирус ослабляет защиту системы и ускоряет шифрование.

«Everything» — это Для просмотра ссылки Войди или Зарегистрируйся для поиска файлов в Windows, разработанная компанией Voidtools. Утилита легковесная и быстрая, использует минимум системных ресурсов и позволяет практически мгновенно находить файлы и папки по их именам, размерам, датам, атрибутам и т.д.

Программа-вымогатель Mimic использует возможности Everything с помощью файла «Everything32.dll», извлечённого на стадии заражения. Файл необходим для определения имен и расширений файлов в скомпрометированной системе.

Everything помогает Mimic находить пользовательские файлы, которые можно зашифровать, избегая файлы системные, в случае блокировки которых, система бы просто не запустилась после перезагрузки компьютера.


vm6tdh6zy15v5pvkxjmfz01yk2dxrekh.png


Функция Mimic, использующая API поисковика Everything Файлы, зашифрованные с помощью Mimic, получают расширение «.QUIETPLACE». Также вымогатель помещает на рабочий стол файл-записку с требованием выкупа, в которой сообщаются все требования и информация о том, как восстановить данные после выплаты выкупа на криптокошелёк.


pk4zrmdn62jaqbbzhnx2leb4ktf1adj1.png


Записка о выкупе Mimic Таким образом, Mimic — это новый подвид вымогателей, использующий наработки Conti и API-интерфейс программы Everything. Такой подход доказывает, что его авторы являются компетентными разработчиками программного обеспечения, которые четко понимают, как они могут достичь своих целей.
 
Источник новости
www.securitylab.ru

Похожие темы