Недавно Центр безопасности 360 отслеживал, что распространение вируса SlientFade было связан с пиратским программным обеспечением. Зараженные пользователи в основном распространялись в Малайзии, Индии, Бразилии, Индонезии, России и других странах.
SlientFade был активен еще в 2019 году и заработал много денег на краже учетных данных жертвы и мошенничестве с рекламой. Троянец использует различные технологии, такие как обход антипрограмм и виртуальных машин, а также взаимодействует с угонами браузера, вредоносными плагинами браузера и т. Д. для выполнения вредоносного кода.
В недавних обновлениях было обнаружено, что программа-вымогатель STOP распространялась через канал обновления, нанося серьезный ущерб компьютеру пользователя.
Технический анализ
SlientFade использует различные методы обфускации кода для обхода антивирусной виртуальной машины и некоторые общие механизмы отладки:
Обнаружение виртуальных машин, таких как vmware, путем определения имени устройства:
Обнаружение некоторых антивирусных виртуальных машин путем вызова менее часто используемых системных функций с помощью повторного использования бессмысленных параметров:
SlientFade содержит мощный модуль кражи, который будет красть учетные данные пользователя и данные, связанные с учетной записью Facebook, а также крадет пароли учетных записей, сохраненные в файлах конфигурации Chrome, Edge, Yandex, Opera, Firefox и т. Д. Некоторые из последовательностей кода выглядят следующим образом :
Он также будет красть учетные данные Facebook и запрашивать рекламные данные Ads через графический интерфейс:
Кроме того, устанавливаются вредоносные плагины браузера:
Плагин используется для кражи информации о друзьях пользователя в Facebook.
В дополнение к модулю киберпреследования SlientFade загружает и запускает другое вредоносное ПО. Плагин загрузки Thunder используется в процессе загрузки. Соответствующая логика загрузки следующая:
Мы отслеживали, что SlientFade будет загружать программы-вымогатели, шифровать пользовательские данные и расширять зашифрованные файлы с расширением «.qlkm»:
Соответствующая информация о запросе шантажа, как показано ниже:
Резюме
Вирус SlientFade украдет учетные данные пользователя и конфиденциальные данные, связанные с Facebook, а также загрузит и запустит другие вредоносные модули, такие как остановка программ-вымогателей, что приведет к значительным экономическим потерям и потере данных для пользователей.
Распространение вируса зависит от пиратского программного обеспечения. Поэтому мы рекомендуем пользователям сократить использование пиратского программного обеспечения и попытаться получить такое программное обеспечение через официальные каналы. В то же время при использовании потенциально опасного программного обеспечения сначала используйте программное обеспечение безопасности для сканирования.
360 Total Security уже поддерживает обнаружение и уничтожение вируса, зараженным пользователям рекомендуется установить с нашего официального сайта: https://www.360totalsecurity.com.
Подробнее о 360 Total Security