Mamona: новый кошмар Windows
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Исследователи в области кибербезопасности обнаружили новую разновидность вредоносной программы-вымогателя под названием Mamona. Эта находка потрясает экспертов минималистичным дизайном, скоростью и коварной автономностью — ей не требуется удалённое управление.
По данным специалистов из компании Wazuh, Mamona не использует привычные серверы команд и управления, а работает по принципу "один против всех" — запускается как автономный исполняемый файл непосредственно на системе Windows. Такой подход позволяет незаметно обойти защиту, основанную на анализе сетевого трафика, — малварь просто не выходит в интернет.
Вредонос запускается локально с помощью простейшего бинарного файла. После запуска Mamona даёт трёхсекундную фору жертве (и защитным системам), используя модифицированную команду ping: cmd.exe /C ping 127.0.0.7 -n 3 > Nul & Del /f /q. Заканчивает своё выступление самоуничтожением. Самоликвидация позволяет значительно уменьшить количество цифровых отпечатков и усложнить анализ.
Интересная деталь — вместо стандартного локального IP 127.0.0.1 используется 127.0.0.7, мимо большинства детекторов. Такой трюк помогает обходить примитивные правила безопасности и не попадаться на глаза классическим антивирусам.
Если вы заметили файлы с расширением .HAes и "творческий" файл README.HAes.txt, поздравляем: ваш компьютер стал жертвой вымогателей-прагматиков. Вся эта малварь — как конструктор: бери, запускай, получай выкуп. Такой подход, отмечают в Wazuh, делает создание и распространение вымогателей делом простым, а рынок малвари — ещё шире.
Для выявления Mamona специалисты предлагают задействовать Sysmon для мониторинга событий, а также выстроить свои правила поиска: Rule 100901 — по созданию файла README.HAes.txt, Rule 100902 — при совпадении вымогательской активности и ловушек, связанных с ping и самоуничтожением.
В Wazuh советуют подключать YARA-правила и модули мониторинга целостности файлов (File Integrity Monitoring, FIM). Подозрительные изменения в каталоге Downloads моментально вызывают проверку. Быстрая реакция — обязательна: иначе шанса не будет.
Рынок вымогателей мутирует, и только гибкие, накапливающие опыт системы защиты позволяют хоть как-то удерживать оборону. Чудо-щит пока не придумали — но мозги, как всегда, спасают лучше железа.
Mamona — маленькая, быстрая, независимая зловредная программа, не нуждающаяся в удаленном управлении. Создатели тщательно избавились от всех лишних функций: никакой связи с сервером, только локальный запуск и моментальная самоутилизация. Такой подход работает — большинство антивирусов и традиционных методов защиты фокусируются на сетевой активности, а тут её нет вообще. Модифицированный IP-адрес 127.0.0.7 помогает ускользать даже от простейших сигнатурных правил.
Защитникам вроде Wazuh приходится перестраивать собственные подходы, вводить мониторинг на события по созданию файлов и ловить изменения в папке Downloads. В современных условиях вымогатели становятся настолько простыми в распространении, что практически любой желающий может использовать шаблон Mamona для атаки. Каждый эпизод заражения может закончиться тем, что жертве остаётся искать спасения в резервных копиях и/или переводить криптовалюту. Вся индустрия антивирусов вынуждена приспосабливаться не просто к новым угрозам, а к исчезновению старых шаблонов: нет сети — нет проверок, нет командных центров — нет подозрительных соединений. Обходной путь зафиксирован, и рынок малвари получает дополнительный простор. Mamona иллюстрирует тенденцию, при которой простота и автономность вредоносных программ — новая норма, а мир защиты всё чаще опаздывает вслед за угрозой.