Forcepoint: Исходный код вымогателя CradleCore продается на форумах
Главная » Новости

Forcepoint: Исходный код вымогателя CradleCore продается на форумах

Олег Иванов 18 Апреля 2017 - 09:56
...
Forcepoint: Исходный код вымогателя CradleCore продается на форумах

Исследователи безопасности Forcepoint обнаружили, что автор нового вымогателя продает исходный код зловреда на форумах соответствующей тематики.

Известный под именем CradleCore, вредонос был частью схемы «вымогатель как услуга» (ransomware-as-a-service, RaaS), используемой многими злоумышленниками в последнее время. Помимо всего, он позволяет заказчикам использовать исходный код и настраивать вымогателя под себя.

Вредоносная программа предоставляется в виде исходного кода на C++, в паре с необходимыми скриптами веб-сервера PHP и платежной панелью. Согласно Forcepoint, вымогатель появился на нескольких сайтах в сети Tor примерно две недели назад, цена составляет 0.35 биткоинов (около 400 долларов США).

Поскольку исходный код подается напрямую, эксперты опасаются появлений различных вариаций этого вымогателя. После анализа исследователи безопасности обнаружили, что вредоносная программа поставляется с «относительно полным набором функций», она использует Blowfish для шифрования файлов, имеет функции защиты от песочницы, поддерживает автономное шифрование и использует шлюз Tor2Web (onion.link) для связи с командным центром (C&C).

После заражения системы вымогатель приступает к шифрованию файлов пользователя, добавляя к ним расширения .cradle. Как только шифрование завершено, вредонос отображает информацию о выкупе.

Согласно Forcepoint, некоторые слова, используемые в файле readme, наталкивают на мысль, что автор CradleCore не является профессиональным разработчиком вредоносных программ, а скорее разработчиком программного обеспечения, который решил попробовать себя в написании шифровальщика.

После того, как исследователи изучили рекламный сайт CradleCore, они пришли к выводу, что автор действительно может быть независимым разработчиком программного обеспечения. Информация на личном веб-сайте разработчика привела к его учетным записям Twitter и LinkedIn, в результате чего выяснилось, что это программист на C++.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Gorilla: новый Android-вредонос учится воровать и подслушивать
Екатерина Быстрова 18 Апреля 2025 - 09:25
Android Трояны Домашние пользователи
Gorilla: новый Android-вредонос учится воровать и подслушивать

Похоже, у Android-пользователей появился новый «зверь» под капотом — свежевылезший вредонос Gorilla. Пока он как будто только учится пакостить — никакой маскировки, всё на виду. Но даже в таком «юном» состоянии успел напугать специалистов своей функциональностью.

Gorilla, который уже успел привлечь внимание специалистов из Prodaft, написан на Kotlin и первым делом лезет в СМС — просит стать приложением по умолчанию.

Зачем? Чтобы читать, перехватывать и даже отправлять сообщения от вашего имени. А потом ещё и сортирует их по меткам: «Banks», «Yandex» — не к лучшему, правда?

Но не только СМС едины. Малварь запрашивает доступ к номеру телефона, данным сим-карты, списку приложений, модели устройства и даже тому, включён ли экран. Всё это аккуратно улетает операторам по WebSocket’у каждые 10 секунд. Такая вот «связь с центром».

Кстати, на панели управления у злоумышленников каждому заражённому устройству присваивается одна из трёх меток:

  • State Authority — видимо, это «особо интересные» цели,
  • Important — «второй сорт, но пригодны»,
  • Trash — всё остальное.

И это уже тревожный звоночек: возможно, Gorilla готовят не только для краж денег, но и для более серьёзного дела — вроде слежки за госслужащими или активистами.

 

Чтобы не вылетать из памяти, Gorilla запускает себя в фоновом режиме с помощью FOREGROUND_SERVICE и даже просит пользователя отключить для себя оптимизацию батареи. Особенно настойчиво — на устройствах Huawei и Honor, где он ещё и замедляет «сердцебиение» (частоту связи с сервером), чтобы не попасть под зачистку системой.

А ещё внутри кода обнаружили «запасные» функции:

  • WebViewActivity — по сути, это задел для будущих фишинговых атак через фальшивые страницы банков.
  • USSDReceiver — класс, который может активироваться, если набрать специальный код вроде *#0000#. Возможно, это будет использоваться как скрытая команда для активации малвари.

И хотя сейчас Gorilla только разминается, эксперты уверены: потенциал у него большой и явно не в добрую сторону. Перехваты СМС, слежка, хитрые трюки для выживания — в будущем он может стать серьёзным игроком на поле Android-угроз.

Так что включаем паранойю на минималках: дважды проверяем, что ставим, не раздаём права направо и налево и, как всегда — держим защитный софт в боевой готовности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В России растет количество политических дипфейков
Новость
В России растет количество политических дипфейков
Дональд Трамп отменил директиву по безопасности ИИ прежней администрации
Новость
Дональд Трамп отменил директиву по безопасности ИИ прежней а...
Рост DDoS-атак на API: в ретейле +26%, в банках +22% за год
Новость
Рост DDoS-атак на API: в ретейле +26%, в банках +22% за год

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.