Вымогательское ПО YourCyanide распространяется через ссылки в PasteBin, Discord и Microsoft Edge

07.06.2022

Новая версия программы-вымогателя пока что в разработке.

Последние версии программ-вымогателей на базе CMD отличаются продуманностью и сложностью обнаружения, а также включают в свой набор функций кражу токенов и распространение червей. Новый вариант вымогательского ПО на базе CMD все еще находится в стадии разработки, но исследователи предупреждают, что опасное сочетание нескольких уровней обфускации и хитроумная интеграция вредоносных ссылок в легитимные сервисы делают его крайне серьезной угрозой.

YourCyanide восходит корнями к семейству программ-вымогателей GonnaCope, впервые обнаруженному в апреле, говорится в новом отчете группы поиска угроз Trend Micro. Вредонос пока ничего не шифрует (хотя исследователи утверждают, что это произойдет в ближайшее время), но переименовывает все нужные файлы, крадет информацию и похищает токены доступа из Chrome, Discord и Microsoft Edge. Кроме того, он самораспространяется.

В отличие от предшественников, у YourCyanide есть несколько новых тактик:

Использование ссылок PasteBin, Discord и Microsoft Edge для поэтапной развертки полезной нагрузки;
Возможность скрываться за функцией Enable Delayed Expansion.

"Хотя YourCyanide и другие его варианты в настоящее время не так популярны, как другие семейства программ-вымогателей, он представляет собой интересную новинку в мире вымогательского ПО. Вредонос объединяет функции червя, программы-вымогателя и инфостилера в единую структуру вымогательского ПО среднего уровня", – говорится в отчете Trend Micro. "Также вероятно, что эти версии вымогательского ПО все еще находятся на стадии разработки. Поэтому нашей приоритетной задачей должны стать обнаружение и блокирование вредоносов семейства YourCyanide до того, как они смогут развиться дальше и нанести еще больший ущерб".

Напомним, не так давно специалисты Trend Micro обнаружили вредоносную кампанию Linux-вымогателя Cheerscrypt. Подобно другим известным вымогателям Cheerscrypt придерживается тактики двойного вымогательства – требует выкуп за восстановление зашифрованных файлов, угрожая в противном случае опубликовать похищенные у жертвы данные.

похожие материалы

Роскомнадзор назвал страны-источники вредоносного трафика

Роскомнадзор сообщил, что доля зарубежного вредоносного трафика, поступающего в Россию, во втором полугодии 2025 года оставалась стабильно высокой.

подробнее

Мошенники захватывают опубликованные домены Snap Email для распространения вредоносного ПО

Исследователи по кибербезопасности обнаружили новую тактику злоумышленников, которые используют захваченные опубликованные домены проекта Snap Email для размещения вредоносного ПО и фишинговых материалов.

подробнее

Исследователи «перехватили» куки у авторов одного из крупнейших cookie-стилеров

Специалисты по кибербезопасности из CyberArk Labs рассказали о необычном случае исследования вредоносного ПО - им удалось извлечь активные session-cookies из инфраструктуры самого стилера, который предназначен для кражи куки у пользователей.

подробнее

Приложения в App Store сливают данные пользователей

Исследователи обнаружили в App Store сотни приложений, сливающих пользовательские данные — от имён и адресов электронной почты до истории чатов.

подробнее

Мошенники используют игру в кости в Telegram для обмана пользователей

В мессенджере Telegram злоумышленники начали применять схему обмана, основанную на виртуальной игре в кости, чтобы выманивать у людей деньги и личные данные.

подробнее