Вирус-вымогатель Albabat эволюционирует для атак на Linux и macOS

Вредоносная программа Albabat продолжает меняться, расширяя горизонты своих атак и подстраиваясь под новые операционные системы. Специалисты компании Trend Micro сообщили о появлении новой модификации вируса-вымогателя, получившей номер 2.0.

Теперь под угрозой оказались не только пользователи Windows — внимание злоумышленников переключилось также на системы Linux и macOS. Исследователи подчёркивают, что обновлённый Albabat собирает информацию об устройстве и системе, что помогает точнее настраивать вредоносную активность под конкретную жертву.

Особенность свежей версии — использование платформы GitHub в качестве хранилища для конфигурационных файлов. Такой подход, по словам команды Trend Micro, позволяет атакующим проще управлять настройками вируса и быстрее развертывать атаки. В числе прочего эксперты зафиксировали разработку версии 2.5, которая пока не замечена в активном использовании, но уже демонстрирует направление, в котором движутся разработчики этого вымогателя.

Исследование компании показывает, что инструменты киберпреступников становятся всё изощрённее. Albabat, написанный на языке Rust, ориентирован на шифрование файлов на заражённом устройстве. Первый раз вирус был зафиксирован в ноябре 2023 года, и с тех пор его функциональность заметно расширилась.

Эксперты Trend Micro разобрали версию 2.0.0, чтобы понять, как она работает. Анализ показал, что шифрованию подвергаются лишь определённые типы файлов — среди них .themepack, .bat, .com, .cmd и .cpl. При этом программа игнорирует ряд системных папок, таких как Searches, AppData, $RECYCLE.BIN и System Volume Information. Это может указывать на желание разработчиков избежать сбоев в работе ОС и сосредоточиться на данных, представляющих ценность для пользователя.

Кроме того, вредонос отключает несколько процессов, в том числе taskmgr.exe, processhacker.exe, regedit.exe, code.exe, excel.exe, powerpnt.exe, winword.exe и msaccess.exe. По мнению исследователей, это нужно для того, чтобы обходить защитные механизмы и прерывать работу приложений, которые могут мешать шифрованию файлов.

Особое внимание специалисты обратили на возможность взаимодействия вируса с базой данных PostgreSQL. Это позволяет операторам следить за числом заражений, управлять вымогательскими сообщениями и контролировать процесс получения выкупа. Также была найдена информация, указывающая на поддержку команд, ориентированных на Linux и macOS, что свидетельствует о наличии соответствующих бинарных файлов.