Microsoft avertizează asupra malware-ului GigaWiper care poate spiona și distruge pc-uri

0
2
gigawiper,-noul-malware-care-poate-spiona-si-distruge-complet-un-pc.-microsoft-avertizeaza-asupra-unei-amenintari-tot-mai-periculoase
GigaWiper, noul malware care poate spiona și distruge complet un PC. Microsoft avertizează asupra unei amenințări tot mai periculoase

Microsoft a publicat o analiză detaliată despre GigaWiper, un malware complex folosit în atacuri informatice, identificat recent într-un raport de The Hacker News. Specialiștii consideră că nu este un virus obișnuit sau un ransomware clasic, ci o platformă capabilă atât să spioneze victimele, cât și să distrugă complet sistemele compromise.

Funcționalități multiple într-un singur malware

GigaWiper este scris în limbajul Go (Golang) și reunește trei componente destructive, anterior dezvoltate separat. Operatorul atacului poate alege metoda utilizată în funcție de obiectivul specific.

Prima componentă permite suprascrierea directă a discului fizic, precum și ștergerea tabelului de partiții, rezultând pierderea definitivă a datelor și dificultăți majore în recuperarea acestora.

A doua funcție imită comportamentul unui ransomware, criptând fișierele afectate și aplicând extensia „.candy”. Spre deosebire de ransomware-ul clasificat, GigaWiper nu păstrează nicio cheie de decriptare sau notă de răscumpărare, ceea ce face imposibilă recuperarea datelor prin plata unei sume.

Cea de-a treia metodă vizează direct partiția Windows, fiind folosită pentru suprascriere repetată cu date diversificate, transformând sistemul într-unul imposibil de pornit. Acest mod de acțiune seamănă cu atacurile NotPetya, având ca scop distrugerea infrastructurii informatice.

Capacități de spionaj și control al sistemului compromis

Pe lângă distrugere, GigaWiper poate funcționa ca un backdoor, oferind control complet asupra sistemului infectat. Malware-ul poate realiza capturi de ecran ale tuturor monitoarelor conectate, înregistra activitatea utilizatorului și poate deschide o sesiune VNC ascunsă. Aceasta permite atacatorului să vadă în timp real desktopul victimei și să controleze mouse-ul și tastatura.

De asemenea, malware-ul colectează informații despre sistem, gestionează procesele și serviciile Windows, modifică registrul și poate șterge jurnalele de evenimente pentru a ascunde urmele atacului. În codul malware-ului au fost identificate și funcții inactive, inclusiv elemente asociate unui viitor keylogger și mecanisme suplimentare de ștergere a datelor, indicând o dezvoltare continuă.

Pentru a evita suspiciunile, GigaWiper se deghizează în procese legitime, generând o sarcină programată numită „OneDrive Update” care rulează la fiecare minut și folosind denumiri asemănătoare componentelor autentice din Windows. Traficul de comunicație cu serverele atacatorilor este mascat folosind servicii legitime precum RabbitMQ, Redis și MinIO, ceea ce face dificultoasă diferențierea de activitatea normală.

Origine și recomandări ale Microsoft

Microsoft consideră că GigaWiper reutilizează cod provenit din două familii de malware urmărite anterior, Crucio și FlockWiper. În același timp, compania Binary Defense analizează aceeași amenințare sub denumirea BLUERABBIT, indicând aceiași indicatori tehnici, precum hash-uri și servere de comandă.

Analize independente sugerează o legătură cu o grupare asociată Iranului, care ar fi vizat organizații israeliene. Microsoft nu atribuie în mod oficial aceste atacuri vreunei ținte sau stat.

GigaWiper reprezintă un exemplu de malware care combină funcții de spionaj și distrugere, fiind un instrument sofisticat folosit în atacuri cibernetice avansate.

LĂSAȚI UN MESAJ

Vă rugăm să introduceți comentariul dvs.!
Introduceți aici numele dvs.