Вымогатели начали использовать виртуализацию для сокрытия вредоносного ПО

Использование виртуальных машин для сокрытия работы троянских программ-шифровальщиков выявлено специалистами компании Symantec (Broadcom), 24 июня сообщает американский портал новостей об информационных технологиях ZDNet.

Специалисты дочерней организации Broadcom — Symantec выявили использование виртуальной машины для VirtualBox в качестве метода сокрытия работы трояна-шифровальщика Conti. Несмотря на все издержки, такой способ запуска вредоносной нагрузки позволяет хорошо замаскировать работу вредоносного программного обеспечения (ПО) от систем безопасности.

«Мотивация, лежащая в основе этой тактики, — скрытность. Чтобы избежать подозрений или выявления антивирусным программным обеспечением, полезная нагрузка вымогателя будет прятаться внутри виртуальной машины при шифровании файлов на основном компьютере», — сообщили в Symantec.

Выявленный случай не был до конца успешным с точки зрения применения виртуальной машины. Злоумышленникам пришлось завершать операцию с помощью запуска трояна-шифровальщика Mount Locker на основной машине (хост-машине).

Однако, считают специалисты Symantec, такой подход может быть эффективно использован для скрытных атак в дальнейшем. Виртуальные машины часто имеют общие папки с хост-системами. Зловредное ПО может использовать общие папки для доставки непосредственно шифровальщика в основную систему (зачастую применяется схема с запуском небольшого загрузчика, который доустанавливает все необходимые средства через Интернет).