Фото: Reuters
Користувачі можуть підхопити троян під час користування пошуковиком
Провідний розробник антивірусного програмного забезпечення ESET повідомив про новий спосіб поширення троянської програми Nymaim, яка може блокувати комп'ютер користувача з метою отримання викупу за розшифрування.
Як повідомляється, від кінця вересня 2013 року
увагу експертів привернула вже відома шкідлива програма Nymaim - троян із
функціями вимагача.
Раніше зараження цим ПЗ здійснювалося за
допомогою відомого комплекту зломщиків - експлойтів BlackHole, які
використовували наявні на комп'ютері вразливості додатків або операційної
системи для доставки шкідливого коду.
Однак нещодавно з'явилася інформація про те,
що автор комплекту BlackHole був затриманий у Росії. Схоже, у зв'язку з цим зловмисники
стали використовувати новий спосіб зараження користувачів.
Від кінця вересня була зафіксована велика кількість
виявлень цієї шкідливої програми серед завантажених за допомогою браузера
файлів. Експерти встановили, що реферальні посилання, що ведуть на завантаження
шкідливих файлів, належать Google. Це означає, що перед зараженням користувач
ввів у Google-пошук якийсь запит і клікнув на одне з посилань у пошуковій
видачі.
Згідно з результатами дослідження веб-сторінок,
які ініціювали завантаження шкідливого коду, для масштабного зараження
зловмисники використовували т.зв. "темну пошукову оптимізацію" (Black
Hat SEO), за допомогою якої просували спеціально створені шкідливі сторінки у
топ-видачі за популярними ключовими словами.
Клікнувши на таке посилання у пошуковій видачі,
користувач перенаправляється на шкідливу сторінку та ініціює завантаження
архіву, назва якого - для підвищення довіри користувачів - відповідає введеному
в рядок пошуку тексту. Тобто один і той самий архів буде завантажений з різними
іменами, залежно від пошукового запиту. Ось кілька прикладів виявлених експертами
ESET назв одного файлу:
- video-studio-x4.exe
- speakout-pre-intermediate-wb-pdf.exe
- new-headway-beginner-3rd-edition.exe
- donkey-kong-country-3-rom-portugues.exe
- barbie-12-dancing-princesses-soundtrack.exe
За словами представників ESET, Win32/Nymaim
заражає систему у два етапи. Потрапивши на комп'ютер, перший шкідливий файл
здійснює приховане завантаження і запуск другого файлу, який, у свою чергу,
також може завантажувати додаткове шкідливе ПЗ, а може і просто блокувати
операційну систему для отримання викупу.
Аналітики виявили більше десяти варіантів
екрану блокування, створених різними мовами і з різним оформленням. Неважко
здогадатися, що їхньою метою були користувачі з різних країн Європи та
Північної Америки. На даний момент виявлені екрани блокування з Австрії,
Великобританії, Німеччини, Ірландії, Іспанії, Канади, Мексики, Нідерландів,
Норвегії, Румунії, Франції та США. Однак цей список не є остаточним - швидше за
все, існують постраждалі і в інших країнах. Користувач з будь-якої країни може
бути заражений.
Цікаво, що вартість викупу відрізняється для
різних країн. У більшості з знайдених екранів блокування ціна викупу становить
близько $150, однак користувачів із США просять заплатити за розблокування
найвищу ціну - $300 доларів; у Румунії ж заражений користувач може звільнитися
"лише" за ?100, тобто близько $135.
Експерти наголошують, що вся активність трояна
Win32/Nymaim здійснюється в рамках кампанії з поширення зловмисного ПЗ, у
процесі якої шкідливі Apache-модулі заражають легальні веб-сервери, що
призводить до перенаправлення користувачів на шкідливі сайти. Ця кампанія, що
називається The Home Campaign, триває від лютого 2011 року. За даними
незалежних досліджень, за цей час зловмисники заразили майже 3 млн комп'ютерів.
Раніше Корресопндент.biz писав, що уряд США виявився
найбільшою організацією, яка купує шкідливе ПЗ на "сірому" ринку:
Міністерство оборони та спецслужби США платять значні гроші за так звані
вразливості "нульового дня" - критичні прогалини у ПЗ, про яке раніше
не було відомо it-аналітикам.