Злоумышленники всё чаще используют поддельные обновления программного обеспечения от Microsoft и Google для распространения вредоносов. Последним примером этого является шифровальщик-вымогатель HavanaCrypt, которого специалисты из компании Trend Micro недавно обнаружили замаскированным под пакет обновлений Google Software Update.

Что касается HavanaCrypt, то вредонос скомпилирован в .NET, а для обфускации кода он использует инструмент с открытым исходным кодом Obfuscar. После попадания в систему жертвы вредонос проверяет реестр на наличие записи GoogleUpdate и продолжает работать только в случае, если этой записи нет. Далее вредонос проходит четырёхэтапную проверку на определение виртуальной среды. Для этого он проверяет службы, которые обычно используются виртуальными машинами, а также ищет связанные с ними файлы. Кроме того, он сравнивает MAC-адрес заражённой системы с уникальными префиксами идентификаторов, которые обычно используются в настройках виртуальных машин. Если HavanaCrypt определяет, что находится в виртуальной среде, то его работа прекращается.

Если же вирус не распознаёт виртуальную среду, то на следующем этапе он отправляет запрос на сервер управления и получает от него пакетный файл с настройками для Windows Defender, чтобы антивирус не обнаруживал присутствие шифровальщика. Вместе с этим вредонос останавливает работу множества процессов, преимущественно связанных с приложениями для работы с базами данных SQL и MySQL, а также другими приложениями вроде Microsoft Office.

После этого HavanaCrypt удаляет бэкапы и нарушает работоспособность функций, с помощью которых их можно было бы попытаться восстановить. Для шифрования используется код менеджера паролей KeePass, а для ускорения процесса функция QueueUserWorkItem. Код из KeePass применяется для генерации псевдослучайных ключей шифрования. Это делается для того, чтобы усложнить разработку инструмента для дешифровки данных. Использование хостинга Microsoft для размещения сервера управления вредоносом подчёркивает стремление злоумышленников прятать свою инфраструктуру в легитимных сервисах, чтобы избежать обнаружения. Специалисты отмечают, что в настоящее время в облачных пространствах размещается огромное количество вредоносного ПО.