Вирус SilentFade отслеживает и шантажирует пользователей

26 Фев. 2021 г.kate
Подробнее о 360 Total Security

Недавно Центр безопасности 360 отслеживал, что распространение вируса SlientFade было связан с пиратским программным обеспечением. Зараженные пользователи в основном распространялись в Малайзии, Индии, Бразилии, Индонезии, России и других странах.

SlientFade был активен еще в 2019 году и заработал много денег на краже учетных данных жертвы и мошенничестве с рекламой. Троянец использует различные технологии, такие как обход антипрограмм и виртуальных машин, а также взаимодействует с угонами браузера, вредоносными плагинами браузера и т. Д. для выполнения вредоносного кода.

В недавних обновлениях было обнаружено, что программа-вымогатель STOP распространялась через канал обновления, нанося серьезный ущерб компьютеру пользователя.

Технический анализ

SlientFade использует различные методы обфускации кода для обхода антивирусной виртуальной машины и некоторые общие механизмы отладки:

Обнаружение виртуальных машин, таких как vmware, путем определения имени устройства:

Обнаружение некоторых антивирусных виртуальных машин путем вызова менее часто используемых системных функций с помощью повторного использования бессмысленных параметров:

SlientFade содержит мощный модуль кражи, который будет красть учетные данные пользователя и данные, связанные с учетной записью Facebook, а также крадет пароли учетных записей, сохраненные в файлах конфигурации Chrome, Edge, Yandex, Opera, Firefox и т. Д. Некоторые из последовательностей кода выглядят следующим образом :

Он также будет красть учетные данные Facebook и запрашивать рекламные данные Ads через графический интерфейс:

Кроме того, устанавливаются вредоносные плагины браузера:

Плагин используется для кражи информации о друзьях пользователя в Facebook.

В дополнение к модулю киберпреследования SlientFade загружает и запускает другое вредоносное ПО. Плагин загрузки Thunder используется в процессе загрузки. Соответствующая логика загрузки следующая:

Мы отслеживали, что SlientFade будет загружать программы-вымогатели, шифровать пользовательские данные и расширять зашифрованные файлы с расширением «.qlkm»:

 

Соответствующая информация о запросе шантажа, как показано ниже:

Резюме

Вирус SlientFade украдет учетные данные пользователя и конфиденциальные данные, связанные с Facebook, а также загрузит и запустит другие вредоносные модули, такие как остановка программ-вымогателей, что приведет к значительным экономическим потерям и потере данных для пользователей.

Распространение вируса зависит от пиратского программного обеспечения. Поэтому мы рекомендуем пользователям сократить использование пиратского программного обеспечения и попытаться получить такое программное обеспечение через официальные каналы. В то же время при использовании потенциально опасного программного обеспечения сначала используйте программное обеспечение безопасности для сканирования.

360 Total Security уже поддерживает обнаружение и уничтожение вируса, зараженным пользователям рекомендуется установить  с нашего официального сайта: https://www.360totalsecurity.com.

Подробнее о 360 Total Security