Шифровальщик Pokémon GO устанавливает бэкдор на системе жертвы

Шифровальщик Pokémon GO устанавливает бэкдор на системе жертвы

В числе функций Pokémon GO предусмотрена возможность создания сетевой папки и самокопирования на все съемные диски.

image

В последние несколько месяцев игра Pokémon GO приобрела огромную популярность во всем мире, чем не преминули воспользоваться вирусописатели. Исследователь в области безопасности Майкл Гиллеспи (Michael Gillespie) обнаружил фальшивое приложение Pokémon GO для Windows, под видом которого скрывается вымогательское ПО, способное не только шифровать файлы жертвы, но и устанавливать бэкдор на целевой системе.

Вымогатель разработан на базе кода вредоносного ПО Hidden Tear, опубликованного на ресурсе GitHub исследователем Ютку Сеном (Utku Sen) в, как он утверждал, образовательных целях. По данным издания Bleeping Computer, шифровальщик Pokémon GO нацелен в основном на арабоязычных пользователей.

На первый взгляд, функционал вредоноса практически не отличается от остальных видов подобного ПО. Оказавшись на системе, программа сканирует диски на наличие файлов с расширениями .txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .htm, .gif, .png. При обнаружении вредонос шифрует контент, добавляет расширение .locked и отображает на экране уведомление с изображением Пикачу и адресом электронной почты злоумышленника.

Как показал более глубокий анализ, шифровальщик не только блокирует доступ к файлам, но и создает скрытую учетную запись администратора с именем Hack3r, позволяющую автору вредоноса получить доступ к компьютеру жертвы. Помимо этого, в числе функций Pokémon GO предусмотрена возможность создания сетевой папки (в настоящее время функция не используется) и самокопирования на все съемные диски.

По некотором признакам вредоносное ПО пока находится на стадии разработки. В частности, об этом говорит использование статического AES-ключа 123vivalalgerie. Предположительно, конечный продукт будет генерировать произвольный ключ и загружать его на C&C-сервер злоумышленника.

За последние несколько недель появился ряд шифровальщиков, обладающих несколько нестандартным функционалом для подобного ПО. К примеру, вымогатель Hitler-Ransonware вызывает сбой в работе компьютера и удаляет файлы жертвы.

 


 

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle