Дослідники знайшли новий вид зловмисного ПЗ, яке використовує маловідомий формат Java, щоб сховатись від антивірусів. Про це розповіли аналітичні організації BlackBerry і KPMG.
ПЗ діє як програма-вимагач (ransomware), що вражає системи Windows і Linux і діє з грудня 2019 року. Його назвали Tycoon, оскільки так називалась тека в декомпільованому коді.
Найцікавіше, що Tycoon використовує рідкісний формат Java-образів JIMAGE. Такі файли дещо подібні на Java-застосунки, адже мають всі компоненти для запуску коду. Однак їх рідко сканують антивірусні механізми, тож вони можуть довго залишатись непоміченими.
У BlackBerry кажуть, що кіберзлочинці переважно атакують освітні організації та компанії, які розробляють програмне забезпечення. Зловмисники використовують надійні алгоритми для шифрування файлів та зазвичай вимагають викуп у криптовалюті.
На початках Tycoon використовував однакові ключі для шифрування, тож відновити файли деяких жертв можна тим самим алгоритмом. Однак потім зловмисники змінили підхід та застосовували різні ключі. У кожному разі дослідники радять проводити надійне резервне копіювання файлів, щоб завжди можна було відновити дані власноруч.
BlackBerry і KPMG вважають, що Tycoon може бути пов'язаний з атаками Dharma, або Crysis, оскільки використовуються схожі адреси електронної пошти, назви зашифрованих файлів і тексти з вимогами викупу.
Ще немає коментарів