Специалисты Intezer и IBM X-Force изучили шифровальщика PureLocker, который написан на PureBasic и способен атаковать Windows, Linux и macOS. Интересно, что операторы малвари, похоже, пользовались услугами того же MaaS-провайдера, что и хак-группы Cobalt и FIN6.

PureLocker оставлялся незамеченным на протяжении нескольких месяцев, так как авторы малвари различными способами уклонялись от внимания исследователей. К примеру, образец для Windows маскировался под криптографическую библиотеку C++ под названием Crypto++, и использовал функции, обычно встречающиеся в библиотеках для воспроизведения музыки. В итоге малварь оставалась незамеченной антивирусными решениями на VirusTotal в течение нескольких недель. Кроме того, PureLocker не проявляет вредоносное и подозрительное поведение, если работает в песочнице или отладочном окружении. Более того, в таком случае пейлоад вообще удаляется после выполнения.

Если говорить о шифровании файлов, здесь PureLocker мало отличается от других вымогателей, хотя и стремиться заразить не максимальное количество жертв, а используется для скрытных, направленных атак. Он меняет расширение файлов на .CR1 и использует алгоритмы AES и RSA, не оставляя жертвам возможности восстановления данных, удаляя теневые копии. Вредонос не блокирует все файлы в скомпрометированной системе, избегая исполняемых файлов.

Изучив малварь более  детально, эксперты заметили кое-что интересное: вредонос, конечно, не имеет никакого отношения к Crypto++, и хотя по большей части он оказался уникальным, в нем также был замечен код, присущий другим семействам малвари, в основном связанным с хак-группой Cobalt.

Как оказалось, PureLocker использует в работе бэкдор More_Eggs, который продается в даркнете и также известен под названиями Terra Loader и SpicyOmelette. Исследователи давно связывают этот бэкдор с провайдером MaaS (Malware-as-a-Service), чьими услугами пользуются группировки Cobalt и FIN6.

В итоге аналитики Intezer выдвинули предположение, что за созданием More_Eggs и PureLocker стоят одни и те же люди.Так, компоненты COM Server DLL в обоих случаях написаны на PureBasic, стадия атаки перед пейлоадом выглядит практически идентично (как с точки зрения функциональности, так и с точки зрения кода), да и методы кодирования и декодирования тоже практически одинаковы.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии