Хакеры используют поддельное обновление Windows 10 для установки программ-вымогателей Cyborg

Пользователи Windows, будьте осторожны! Поддельное письмо, якобы от Microsoft, о обновлении Windows используется для заражения устройств программами-вымогателями.

Исследователи безопасности из SpiderLabs компании Trustwave, которые заметили эту вредоносную кампанию по электронной почте, обнаружили, что поддельные письма заставляют людей устанавливать “критическое обновление” Windows 10 на свои компьютеры.

Тема письма гласит: “Установите последнее обновление Microsoft прямо сейчас!” или “Критическое обновление Microsoft Windows!” Сообщение в письме содержит всего одну строку: “Пожалуйста, установите последнее критическое обновление от Microsoft, прикрепленное к этому письму” и прикрепленный файл.

Интересно, что прикрепленный файл “обновления” замаскирован под файл .jpg, который на самом деле является исполняемым загрузчиком .NET. Это, в свою очередь, загрузило второй исполняемый файл, размещенный на GitHub, принадлежащем Microsoft.

“Файл bitcoingenerator.exe будет загружен с аккаунта misterbtc2020, который был активен всего несколько дней во время нашего расследования, но теперь удален,” - сказала Диана Лопера из Trustwave в блоге.

“Он содержится в репозитории btcgenerator. Как и вложение, это .NET-собранный вредоносный код, программа-вымогатель Cyborg.”

Типичная программа-вымогатель Cyborg, запрашивающая биткойны, затем шифрует все файлы на машине жертвы, блокируя их содержимое и переименовывая все файлы в расширение .777. Далее на рабочем столе жертвы размещается записка с выкупом под названием “Cyborg_DECRYPT.txt”, в которой запрашивается 500 долларов США в биткойнах для разблокировки системных файлов.

Когда исследователи искали оригинальное имя файла программы-вымогателя, они получили его и искали в VirusTotal. Они нашли три других образца и обнаружили, что в интернете существует сборщик для программы-вымогателя. Далее они обнаружили, что программа-вымогатель Cyborg рекламируется через видео на YouTube, которое ссылалось на сборщик, размещенный на GitHub.

“Аккаунт GitHub Cyborg-Ransomware также был создан недавно. Он содержит два репозитория: Cyborg-Builder-Ransomware и Cyborg-Russian-version,” - написала Лопера.

“Первый репозиторий содержит бинарные файлы сборщика программы-вымогателя, а второй содержит ссылку на русскую версию сборщика, размещенную на другом сайте.”

Лопера объяснила, почему программа-вымогатель Cyborg представляет реальную опасность как для бизнеса, так и для частных лиц, сказав: “Программа-вымогатель Cyborg может быть создана и распространена любым, кто получит сборщик. Ее можно спамить, используя другие темы, и прикреплять в разных формах, чтобы обойти почтовые шлюзы. Нападающие могут создать эту программу-вымогатель, чтобы использовать известное расширение файла программы-вымогателя, чтобы ввести в заблуждение зараженного пользователя относительно идентичности этой программы-вымогателя.”

Хотя связанный аккаунт GitHub с тех пор был удален, важно, чтобы пользователи Windows помнили, что Microsoft никогда не отправляет патчи для своих операционных систем по электронной почте.

Кроме того, рекомендуется, чтобы пользователи, получающие подобные письма, немедленно их удаляли. Также желательно не открывать вложения или ссылки в письмах от неизвестных или ненадежных источников.