Menu

Tváří se jako update od Googlu: bezpečnostní výzkumníci varují před novým typem škodlivého kódu

08.08.2022 12:00 | Jiří Palyza + Přidat komentář
Tváří se jako update od Googlu: bezpečnostní výzkumníci varují před novým typem škodlivého kódu

Tváří se jako update od Googlu: bezpečnostní výzkumníci varují před novým typem škodlivého kódu | foto: Ricardo Ortiz/Pexels

Bezpečnostní experti varují před novým malwarem. Maskuje se jako údajná aktualizace od Googlu. Novinka dostala název HavanaCrypt a jde o typ škodlivého kódu, který šifruje obsah napadeného zařízení. Používá také různé techniky, které ztěžují jeho detekci.

V současné době uživatele ohrožuje nový ransomware HavanaCrypt. Podle informací ze společnosti TrendMicro se maskuje jako údajná aktualizace softwaru od společnosti Google. To uživatelům komplikuje jeho odhalení.

Aby se vyhnul detekci bezpečnostními systémy, HavanaCrypt pravděpodobně používá několik taktik. K nim patří i použití IP adresy webhostingu společnosti Microsoft, kterou zneužívá pro svůj příkazový a řídící server (C&C). Mnoho společností ji má nastavenou jako důvěryhodnou, a proto je i na bílé listině.

Bezpečnostní výzkumníci objevili nový malware: maskuje se jako aktualizace od Googlu

windowsdefender

HavanaCrypt používá techniky, kterými se snaží obelstít Windows Defender a přinutit jej, aby neskenoval adresáře "Windows" a "User". | Zdroj: Windows Defender

Při šifrování obsahu napadeného systému malware používá ke generování šifrovacích klíčů funkci CryptoRandom programu KeePass Password Safe. Vyhýbá se šifrování souborů s konkrétními příponami nebo v určitých adresářích, včetně adresáře prohlížeče Tor. Naznačuje to, že autor malwaru může plánovat komunikaci prostřednictvím této sítě.

Podle bezpečnostních expertů by z toho důvodu společnosti měly službu Tor blokovat. Vzhledem k tomu, že pro mnoho z nich stejně nemá žádný význam, nemělo by to vést k žádným problémům.

Ransomware se stále velmi pravděpodobně nachází ve fázi vývoje. Alespoň prozatím se neobjevily žádné požadavky na výkupné za dešifrování souborů, které by souvisely s útoky prostřednictvím HavanaCryptu.

Zdroj: TrendMicro, Security Week

Komentáře

* Hvězdičkou jsou označeny povinné informace.