Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 06.01.2016, 09:06   #980
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 226

kroxus вне форума

IT-безопасность-свежие новости.


JAVASCRIPT-ВЫМОГАТЕЛЬ КАК УСЛУГА

Вредоносное ПО как сервис давно не новость. В сетевом андеграунде постоянно рекламируются не только сами инструменты, но также услуги по управленческому обеспечению и техподдержке банковских троянцев, эксплойт-паков и т.п.

В первые дни нового года исследователи опубликовали результаты анализа нового RaaS-сервиса (ransomware-as-a-service, вымогатель как услуга), предметом которого является криптоблокер, созданный с использованием JavaScript-технологий. Ransom32 предлагается для скачивания с веб-сервера, сокрытого в Tor-сети; подписчику нужно лишь указать Bitcoin-адрес для получения доходов от вымогательства.

Данный зловред создан с помощью легитимной платформы NW.js; он способен отыскивать и шифровать десятки типов файлов и требует выкуп в криптовалюте. При этом создатели Ransom32 получают 25% комиссионных с каждой транзакции. Подписчику RaaS-сервиса также предоставляется административный интерфейс, позволяющий кастомизировать сообщения, отображаемые жертве заражения, определять сумму выкупа, блокировать экран на зараженном компьютере, снижать нагрузку на ЦП в процессе шифрования и задавать время ожидания. Здесь же можно вести статистику: отслеживать общее количество установок, число плательщиков и сумму доходов в биткойнах.
Нажмите чтобы раскрыть спойлер

Первые сообщения о Ransom32 появились на форумах BleepingComputer; впоследствии один из сэмплов был подвергнут анализу в Emsisoft. По свидетельству исследователя Фабиана Восара (Fabian Wosar), размер скачанного для исследования файла оказался большим (22 Мбайт), что необычно для криптоблокера. Зловред был выполнен как WinRAR-архив, содержащий несколько файлов, в том числе исполняемый Chromium-файл, замаскированный под браузер Chrome. На самом деле он представляет собой приложение NW.js, содержащее как вредоносный код, так и среду его исполнения. Следует заметить, что платформа NW.js позволяет создавать десктопные JavaScript-приложения не только для Windows, но также для Mac OS X и Linux. «JavaScript обычно строго ограничен песочницей в браузере и не имеет реальной возможности соприкасаться с системой, под которой работает, — поясняет Восар. — NW.js дает больше свободы в отношении взаимодействия с операционной системой, позволяя JavaScript действовать почти в том же объеме, который доступен «нормальным» языкам программирования, таким как C++ или Delphi. Для разработчика это большое преимущество, так как он может преобразовать свое веб-приложение в десктопное с относительной легкостью. Разработчикам обычных десктопных приложений NW.js полезна тем, что позволяет выполнять один и тот же JavaScript на разных платформах. Таким образом, NW.js-приложение можно написать единожды, и его сразу можно будет применять на Windows, Linux и Mac OS X». На настоящий момент Ransom32, по свидетельству Emsisoft, атакует лишь Windows-системы, однако с некоторыми модификациями может превратиться в кросс-платформенную угрозу. По поведению новый блокер схож с другими зловредами этого класса. В его комплект входит клиент Tor, который Ransom32 использует для связи с C&C-сервером и кошельком Bitcoin, собирающим платежи жертв вымогательства. Это же соединение используется для обмена криптоключами. «RaaS-сервис Ransom32 особо опасен из-за JavaScript и HTML — кросс-платформенных технологий, работающих на Mac и Linux так же, как на Windows, — предупреждает Лоуренс Абрамс (Lawrence Abrams) из BleepingComputer. — А значит, привнеся небольшие изменения, разработчики Ransom32 могут с легкостью сформировать NW.js-пакеты для Linux и Mac. Признаков такой трансформации пока нет, но особого труда она не потребует. Появление вымогательского ПО для отличных от Windows систем неизбежно. Использование платформы вроде NW.js лишь ускоряет этот процесс».

Источник
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика