Эксперты компании Invincea выяснили, что в вымогательской программе Cerber теперь применяется техника malware factory. Во избежание обнаружения антивирусом новая версия Cerber генерируется самой программой каждые 15 секунд.
Изучая последние версии Cerber, исследователи Invincea пытались восстановить всю цепочку заражения. В ходе анализа они заметили, что распространение файлов Cerber осуществляется теперь с разными хешами.
При воссоздании цепочки заражения эксперты вначале получили два разных хеша. После повторной попытки ими был получен третий и четвертый хеши. Оказалось, что это не ошибка: изменение хешей осуществлялось на командном сервере хакеров намеренно. Дальнейший анализ показал, что сервер каждые 15 секунд создает бинарные файлы с новым хешем.
Техника malware factory, которая, по словам экспертов, теперь применяется в Cerber, подразумевает автоматическое внесение незначительных изменений в элементы вредоносной программы для того, чтобы на выходе получались файлы с разным хешем.
Поскольку в настоящее время антивирусы зачастую определяют угрозы путем проверки хешей по базе сигнатур, этот способ помогает Cerber оставаться незамеченным для некоторых программных продуктов.