Российских пользователей атакует необычный троян
Загрузчик Rakhni сам решает, чем заражать: майнером или шифровальщиком.
Эксперты «Лаборатории Касперского» обнаружили необычную версию загрузчика Rakhni, которая оценивает возможность получения прибыли и в зависимости от конфигурации системы загружает на инфицированные устройства либо вымогательское ПО, либо майнер криптовалюты. Вредонос Rakhni написан на языке Delphi и распространяется довольно стандартным способом — посредством фишинговых писем с прикрепленным вредоносным документом Microsoft Word. Файл включает значок PDF, при нажатии на который запускается вредоносный исполняемый файл и на экране немедленно появляется сообщение об ошибке, объясняющее жертве, почему не запустился документ PDF.
C целью остаться незамеченным dредонос проводит разнообразные проверки. Решение о загрузке шифровальщика или майнера зависит от наличия папки %AppData%Bitcoin. При ее наличии загрузчик скачает шифровальщик. В противном случае (при условии, что компьютер использует более двух логических процессоров) будет загружен майнер. Если на устройстве нет вышеуказанной папки и на компьютере доступен только один логический процессор, загрузчик сразу переходит к компоненту-червю для обеспечения запуска после перезагрузки устройства.
В целях замаскировать майнер под легитимный процесс с помощью утилиты CertMgr.exe вредоносная программа устанавливает фальшивые корневые сертификаты, якобы подписанные Microsoft и Adobe Systems.
По данным исследователей, основной целью атак Rakhni являются Россия (95,57% случаев), Казахстан (1,36%) и Украина (0,57%). Случаи заражения также были зафиксированы в Германии (0,49%) и в Индии (0,41%).