Модифицированная версия вымогательского ПО использует новый механизм загрузки.
Авторы семейства вымогателей Cerber разработали новую технику, позволяющую уклоняться от обнаружения антивирусами. В составе новой версии вредоносного ПО появился загрузчик, помогающий избегать детектирования решениями, использующими технологии машинного обучения.
Как правило, вымогательское ПО распространяется посредством электронной почтовой рассылки и новые версии Cerber не стали исключением. Согласно сообщению исследователей из компании Trend Micro, электронные письма содержат ссылку на подконтрольную злоумышленникам страницу в Dropbox, откуда на систему жертвы загружается самораспаковывающийся архив. Архив включает три файла: VBS скрипт, DLL файл и конфигурационный файл. Последний содержит различные настройки конфигурации, а также загрузчик, который проверяет, находится ли он в виртуальной машине или в «песочнице», какие инструменты анализа и антивирусы запущены на компьютере жертвы.
Необходимость использования отдельного загрузчика связана с внедрением технологий машинного обучения в защитные решения, поясняют исследователи. Такие продукты активно детектируют вредоносные файлы на основании функционала, а не сигнатуры. Использование нового загрузочного механизма снижает эффективность статичного подхода, то есть методов, анализирующих файл без его исполнения или эмуляции.
По словам специалистов, все самораспаковывающиеся файлы имеют похожую структуру, вне зависимости от содержимого. Нераспакованные файлы с ограниченным функционалом также не выглядят вредоносными. Иными словами, то, как «упакован» Cerber позволяет ему избегать обнаружения алгоритмами машинного обучения. Тем не менее, отмечают исследователи, вредоносную программу могут обнаружить защитные решения, использующие разнообразные техники и не слишком полагающиеся на машинное обучение.
