Последние версии программ-вымогателей на базе CMD отличаются продуманностью и сложностью обнаружения, а также включают в свой набор функций кражу токенов и распространение червей. Новый вариант вымогательского ПО на базе CMD все еще находится в стадии разработки, но исследователи предупреждают, что опасное сочетание нескольких уровней обфускации и хитроумная интеграция вредоносных ссылок в легитимные сервисы делают его крайне серьезной угрозой.
YourCyanide восходит корнями к семейству программ-вымогателей GonnaCope, впервые обнаруженному в апреле, говорится в новом отчете группы поиска угроз Trend Micro . Вредонос пока ничего не шифрует (хотя исследователи утверждают, что это произойдет в ближайшее время), но переименовывает все нужные файлы, крадет информацию и похищает токены доступа из Chrome, Discord и Microsoft Edge. Кроме того, он самораспространяется.
В отличие от предшественников, у YourCyanide есть несколько новых тактик:
Использование ссылок PasteBin, Discord и Microsoft Edge для поэтапной развертки полезной нагрузки;
Возможность скрываться за функцией Enable Delayed Expansion.
«Хотя YourCyanide и другие его варианты в настоящее время не так популярны, как другие семейства программ-вымогателей, он представляет собой интересную новинку в мире вымогательского ПО. Вредонос объединяет функции червя, программы-вымогателя и инфостилера в единую структуру вымогательского ПО среднего уровня», – говорится в отчете Trend Micro. «Также вероятно, что эти версии вымогательского ПО все еще находятся на стадии разработки. Поэтому нашей приоритетной задачей должны стать обнаружение и блокирование вредоносов семейства YourCyanide до того, как они смогут развиться дальше и нанести еще больший ущерб».
Напомним, не так давно специалисты Trend Micro обнаружили вредоносную кампанию Linux-вымогателя Cheerscrypt. Подобно другим известным вымогателям Cheerscrypt придерживается тактики двойного вымогательства – требует выкуп за восстановление зашифрованных файлов, угрожая в противном случае опубликовать похищенные у жертвы данные.
Источник: SecurityLab