Troianul Rakhni poate alege un program de mining sau unul de criptare atunci când infectează o victimă

386

Produsele Kaspersky Lab au detectat noi mostre malware din familia de troieni ransomware Rakhni. Principala caracteristică a acestui malware este aceea că poate alege modul în care își infectează victimele – fie cu un program de criptare, fie cu unul de mining.

Conform cercetătorilor companiei, malware-ul vizează în principal companiile și se răspândește mai ales în Rusia (95,57%). În plus, a fost detectat în Kazahstan (1,36%), Ucraina (0,57%), Germania (0,49%) și India (0,41%). Numai în decursul anului trecut, au fost atacați peste 8.000 de utilizatori cu troienii din familia Trojan-Downloader.Win32.Rakhni.

Distribuția malware-ului este realizată prin intermediul e-mail-urilor spam care au anexe ce conțin un executabil infectat. Când fișierul este deschis, executabilul este lansat. În acest moment, troianul decide cu ce va infecta PC-ul victimei. Malware-ul verifică existența unui director “%AppData%\Bitcoin”, care ar putea indica existența unui portofel de Bitcoin. Potrivit cercetătorilor Kaspersky Lab, acest lucru duce la presupunerea că victimele vor plăti pentru a-și recupera fișierele, prin urmare troianul le criptează, ceea ce – teoretic – îi garantează atacatorului un profit rapid. În celălalt scenariu, infractorii vor încerca să „câștige” bani de la victimă, fără ca aceasta să observe, instalând un program de mining – cu condiția ca PC-ul să aibă o capacitate suficientă pentru astfel de acțiuni, care consumă numeroase resurse.

Este interesant de remarcat că troianul poate și să ignore cu desăvârșire dispozitivul infectat și să nu mai instaleze nici un criptor, nici un program de mining. Victima nu scapă, însă, nevătămată, pentru că va fi lansată funcționalitatea de „vierme” de rețea – de exemplu, troianul va încerca să distribuie copii tuturor computerelor disponibile în rețeaua locală a victimei.

„Faptul că malware-ul poate decide cum să infecteze victimele, este încă un exemplu că infractorii cibernetici încearcă să profite la maximum: fie direct, șantajându-le pentru a obține bani (programul de criptare), prin utilizarea neautorizată a resurselor (programul de mining), fie extinzând lanțul de distribuție a malware-ului, cu viermele de rețea”, spune Orkhan Mamedov, Malware Analyst, Kaspersky Lab.

Produsele Kaspersky Lab detectează acest malware cu următoarele verdicte:
Downloader: Trojan-Downloader.Win32.Rakhni.pwc
Miner: not-a-virus:RiskTool.Win32.BitCoinMiner.iauu
Cryptor: Trojan-Ransom.Win32.Rakhni.wbrf

Detalii despre troianul Rakhni sunt disponibile în articolul de pe Securelist.