Trend Micro: Вымогатель Cerber использует методы обхода песочниц

По наблюдения экспертов, вымогатель Cerber использует новые методы, позволяющие избежать обнаружения. Также недавно было замечено, что Cerber начал распространяться в паре с кликфрод-трояном Kovter.

Впервые Cerber был обнаружен в марте прошлого года и стал одним из самых распространенных вымогателей. В течение прошлого года вредоносная программа получила множество улучшений и значительно расширила каналы своего распространения (через спам и наборы эксплоитов).

В августе прошлого года исследователи Invincea обнаружили, что Cerber распространялся Betabot, банковским трояном. Теперь же эксперты Cyren утверждают, что Cerber распространяется вместе с Kovter.

Для распространения эти два вредоноса используют спам-письма, содержащие загрузчик JS в .ZIP-архиве. При запуске JS-файл устанавливает Cerber и Kovter. В то время как вымогатель шифрует файлы пользователя и отображает требования для выкупа, Kovter никак не проявляет своего присутствия в системе.

Исследователи уверены, что в этой связке зловредов используются механизмы для обхода песочниц. Например, эксперты Trend Micro, проанализировав новый вредоносный загрузчик, сделали вывод, что он может обойти не только традиционные механизмы безопасности, но и обучающиеся системы.

Во вредоносной кампании, наблюдаемой Trend Micro, использовалась ссылка на самораспаковывающийся архив, загруженный в учетную запись Dropbox, контролируемую злоумышленниками, архив содержит три файла: script Visual Basic, DLL-файл и двоичный файл, который похож на файл конфигурации.

Загрузчик проверяет, запущен ли он на виртуальной машине или в песочнице, если он находит малейшие признаки такого поведения, он завершает процесс.

«Новый механизм упаковки и загрузки, используемый Cerber, может создать проблемы поведенческим анализаторам. Изучая метод упаковки Cerber, мы сделали вывод, что он разработан, чтобы избежать обнаружения» - объясняет Trend Micro.