Специалисты компании Trend Micro сообщают, что Cerber, один из наиболее опасных шифровальщиков на сегодня, взял на вооружение новую технику, чтобы избегать обнаружения антивирусными продуктами, использующими машинное обучение для идентификации угроз.
Исследователи пишут, что в наши дни шифровальщики обычно распространяются через почтовый спам и новая вариация Cerber не является исключением. Однако после этого Cerber действует не совсем обычно. Так, письма содержат ссылку на самораспаковывающийся архив, размещенный на Dropbox. Как только пользователь загружает и открывает этот файл, происходит заражение, схему которого можно увидеть ниже.
Самораспаковывающийся архив содержит скрипт Visual Basic, файл DLL и бинарник, который, судя по всему, является файлом конфигурации и загрузчиком.
Скрипт создан таким образом, чтобы использовать Windows Script Host и загружать DLL-файл, задействовав rundll32.exe. Специалисты отмечают, что DLL прост и понятен, а основной трюк скрывается в конфигурационном файле бинарника. Так, малварь проверяет, не запущена ли она в песочнице или на виртуальной машине, а также обнаруживает в системе антивирусные продукты следующих производителей:
- 360
- AVG
- Bitdefender
- Web
- «Лаборатория Касперского»
- Norton
- Trend Micro
Специалисты поясняют, что новый механизм доставки Cerber на компьютеры жертв может сбивать с толку защитные продукты, которые полагаются в работе на техники машинного обучения. Такие решения не только сверяются с базой известных сигнатур малвари, но анализируют функциональность файлов. По словам специалистов Trend Micro, новая версия Cerber и метод ее упаковки (самораспаковывающийся архив и простые, действующие «прямолинейно» файлы) могут ввести в заблуждение системы, использующие машинное обучение. «Структура всех самораспаковывающихся файлов похожа независимо от их содержимого», — объясняют специалисты. На «взгляд» машинного обучения, такие файлы совсем не выглядят вредоносными, да и распакованные бинарники не вызывают подозрения у подобных защитных решений.