Softpedia предупреждает о новом обманном трюке в арсенале активно развивающегося Cerber. Расследуя недавний случай заражения, эксперты Invincea обнаружили, что полезная нагрузка, доставляемая через макрос Microsoft Office, меняет хэш каждые 15 секунд, что необычно для криптоблокеров.

Как оказалось, мелкие изменения в структуре исполняемого файла, способные ввести в заблуждение сигнатурные системы защиты, в данном случае привносились на стороне C&C-сервера. Каким именно образом это происходило — с помощью программного генератора или скрипта, загружавшего готовые варианты со стороннего ресурса, исследователям установить не удалось.

Тщательный анализ новых сэмплов показал, что по вредоносным характеристикам они идентичны, а кроме того, поразительно схожи с дроппером, обнаруженным в сентябре прошлого года в ходе очередной вымогательской кампании с участием эксплойт-пака Neutrino. Похоже, что Cerber на самом деле появился в дикой природе не в феврале-марте, как считалось, а несколькими месяцами ранее. Привнесение полиморфизма способно продлить жизнь этому блокеру: по свидетельству Invincea, новые образцы, загруженные на VirusTotal, детектируются лишь четырьмя антивирусами из этой коллекции.

Еще один вариант исполняемого файла Cerber, также недавно проанализированный в Invincea, загружался с другого C&C, под другим именем и показал связь с банковским троянцем Dridex. При пробном воспроизведении цепочки заражения дроппер вначале загрузил Cerber, а после этого сменил полезную нагрузку на Dridex. При этом бинарник оставался статичным на протяжении всех последующих тестов, то есть изменений хэша в этом случае не наблюдалось.

Доложивший о новой находке репортер Softpedia не преминул отметить, что с начала текущего года Cerber постоянно эволюционирует, а бесплатный декриптор для него до сих пор не создан. По мере своего развития этот вымогатель, как и его прямой конкурент CryptXXX, время от времени опробует дополнительные способы монетизации. Так, в прошлом месяце исследователи из FireEye обнаружили в одном из образцов Cerber возможность добавления модуля для рассылки спама, а несколько позже та же Invincea протестировала вариант этого блокера, попытавшийся провести DDoS-атаку по методу отражения.

Категории: Аналитика, Вредоносные программы