Вымогатель Mimic использует API ‘Everything’ для атаки на пользователей Windows на английском и русском языках

Исследователи безопасности компании Trend Micro снова сделали открытие нового вымогателя, который они назвали Mimic, который использует API инструмента поиска файлов Everything для Windows, чтобы искать файлы, предназначенные для шифрования.

‘Mimic’ был обнаружен в июне прошлого года, и, похоже, этот вымогатель нацеливается на пользователей, говорящих на русском и английском языках.

Исследователи безопасности компании Trend Micro нашли сходства между некоторыми кодами Mimic и вымогателем Condi, исходный код которого был слит украинским исследователем в марте 2022 года.

Как вы могли догадаться, Condi также является очень опасным вымогателем из-за того, насколько быстро он шифрует данные и распространяется на другие системы.

Считается, что вымогатель поддерживается киберпреступниками, базирующимися в России, которые используют псевдоним Wizard Spider. Российская группа проводит фишинговые атаки, чтобы установить вредоносное ПО TrickBot и Bazarloader для получения удаленного доступа к зараженному устройству.

Теперь, когда вы знаете о Condi, давайте посмотрим, как работает Mimic; вымогатель Mimic начинает свою атаку после того, как цель получает исполняемый файл, предположительно, через электронную почту, который затем извлекает четыре файла на систему жертвы, включая вспомогательные файлы, основной полезный груз и механизмы для остановки Windows Defender.

С этим, Mimic является гибким вымогателем, который поддерживает аргументы командной строки для уточнения целевых файлов. Кроме того, он может использовать несколько потоков процессора для ускорения процесса шифрования данных.

Исследователи нашли несколько возможностей в Mimic, которые присутствуют в современных вымогателях. Эти возможности включают

• Сбор информации о пользователе

• Обход контроля учетных записей пользователя

• Активация мер против отключения

• Активация мер против завершения процессов

• Создание постоянства через RunKey

• Демонтирование визуальных драйверов

• Отключение телеметрии Windows

• Завершение процессов и служб

• Отключение режима сна и завершения работы

• Удаление индикаторов

• Подрыв восстановления системы

Завершая процессы и службы, он стремится отключить процедуру защиты данных и затем освободить ценные данные, такие как файлы баз данных, и таким образом сделать их доступными для шифрования.

Для тех, кто не в курсе, Everything — это поисковая система имен файлов для Windows, использующая минимальные ресурсы и легкая. Новый вымогатель использует поиск Everything в виде Everything32.dll, который он выпускает, когда находится на стадии инфекции, чтобы запрашивать определенное имя и расширение на зараженной системе.

Поисковая система файлов помогает вымогателю находить файлы, которые подходят для шифрования, и в то же время избегать системных файлов, которые сделают систему непригодной, если будут заблокированы.

После этого файлы, зашифрованные Mimic, получают расширение ‘QUITEPLACE’, и с этим на скомпрометированной машине появляется сообщение о выкупе, уведомляющее жертву об этом.

В настоящее время нет активности, связанной с вымогателем, но сходства кода с вымогателем Conti, что доказывает, что нападающие знают, что делают.

Читать: Нападающие злоупотребляют вложениями OneNote для распространения вредоносного ПО RAT