Новый вымогатель HavanaCrypt маскируется под обновления софта Google

Субъекты риска все чаще используют поддельные обновления программного обеспечения Microsoft и Google, чтобы попытаться внедрить вредоносное ПО в целевые методы.

Новейшим примером является «HavanaCrypt», совершенно новое программное обеспечение для вымогательства, которое специалисты Development Micro недавно обнаружили под видом утилиты замены программы Google Software.

Сервер управления вредоносным ПО (C2) размещен на IP-адресе Microsoft Internet Hosting, что довольно редко встречается для программ-вымогателей, сообщает Development Micro.

Кроме того, следует отметить множество методов HavanaCrypt для проверки того, работает ли он в цифровой среде. Вредоносное ПО использует код из диспетчера ключей с открытым исходным кодом KeePass Password Protected при шифровании, а также использование Internet-оператора под названием «QueueUserWorkItem» для ускорения шифрования.

Development Micro заявляет, что вредоносное ПО, вероятно, находится в стадии разработки, потому что оно не отправляет заметки о выкупе на заражённых технологиях.

HavanaCrypt является одним из растущего числа программ-вымогателей и других вредоносных программ, которые в последние месяцы распространялись в виде фиктивных обновлений для Windows 10, Microsoft Change и Google Chrome.

В мае исследователи безопасности обнаружили, что программа-вымогатель, известная как «Magniber», выдавала себя за обновления Windows 10. Ранее в этом году исследователи Malwarebytes заметили, что операторы оборудования Magnitude Exploit Equipment пытались обмануть пользователей, заставляя их загружать его, превращая вредоносное ПО в замену Microsoft Edge.