Жертвы вымогателя Locky получили предупреждение вместо вируса

Жертвы вымогателя Locky получили предупреждение вместо вируса

У операторов ботнета Dridex, который в последнее время занимается распространением шифровальщика Locky, определенно выдался плохой месяц. Инфраструктуру ботнета опять взломал неизвестный gray hat доброжелатель, подменив вредоносный пейлоад на предупреждение о малвари.

Этот взлом стал для Dridex четвертым с начала года. Инфраструктура ботнета, ранее распространявшего одноименный банковский троян, а теперь занимающегося дистрибуцией вымогателя Locky, подвергается издевательским атакам раз за разом. Пару недель назад, в начале мая 2016 года, неизвестные хакеры полностью удалили исходные коды вымогателя с серверов, подменив их всего двумя словами: «Дурацкий Locky» (Stupid Locky).

Еще чуть раньше, в апреле 2016 года, в панель управления одного из подконтрольных Dridex ботнетов сумели проникнуть специалисты компании Buguroo. По итогам исследователи опубликовали интересный отчет об устройстве бекэнда Dridex, а также сумели собрать много полезных данных, пишет xakep.ru.

В феврале 2016 года Dridex взломали еще раз, подменив загрузчик банковского трояна Dridex (тогда ботнет еще не переключился на распространение Locky) на оригинальную и самую свежую версию инсталлятора бесплатного антивируса Avira.

17 мая 2016 года специалисты компании F-Secure сообщили о новом инциденте. На этот раз исследователи обнаружили вместо пейлоада Locky файл, который учит пользователей азам компьютерной безопасности. JScript, который загружается с серверов ботнета, оказался вовсе не малварью, а предупреждением о том, что не следует открывать подозрительные файлы.

«Вы читаете это сообщение, потому что открыли вредоносный файл. Ради вашей собственной безопасности: не открывайте почтовые вложения из неизвестных источников», — гласит сообщение.

 

locky-payload-replaced

locky-payload-replaced-http-capture

 

Специалисты F-Secure саркастично отмечают, что неизвестному gray hat’у, пожалуй, не стоило использовать термин «вредоносный файл», потому что большинство пользователей все равно не поймут, что это такое. По мнению аналитиков, нужно было написать проще: «Вы читаете это сообщение, потому что кликнули на компьютерный вирус, но я (мы?) взломал хакеров, чтобы они не могли взломать вас. В следующий раз удача может не быть к вам так благосклонна. Впредь будьте осторожнее».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В мессенджер Signal для Windows добавили поддержку Arm64

Разработчики Signal выпустили обновление 7.34.0 для Windows-версии мессенджера. Устранен баг режима Dark, реализована поддержка процессоров с архитектурой Arm64 — таких как Snapdragon X Plus и Elite от Qualcomm.

Отныне приложение для IM-связи будет работать шустрее и более гладко на таких десктопах, притом без эмулятора, — так же, как при запускек на устройствах Microsoft Surface на базе ARM.

Поддержку этой аппаратной платформы недавно получил ряд других популярных Windows-программ: Google Chrome, Telegram, браузер Vivaldi, Adobe Illustrator, Slack.

В 2020 году доля ноутбуков на ARM составляла немногим более 1%. По прогнозам аналитиков, к концу десятилетия этот показатель возрастет до 40%.

Укреплению положения ARM на рынке десктопов способствуют рост популярности сервисов на основе генеративного ИИ, в частности, Copilot (их производительность на ARM выше), а также проблемы, которые начали испытывать Intel и AMD.

Мессенджер Signal — бесплатный продукт с открытым исходным кодом, разработанный с упором на безопасность и приватность. С августа доступ к Signal в рунете ограничен «в связи с нарушением требований российского законодательства» (цитата по РБК).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru