Вымогательская малварь похищает пароли, перед тем как зашифровать данные
Специалисты компании Heimdal Security обнаружили вымогательское ПО, которое использует не совсем обычную схему работы. Малварь распространяется через плохо защищенные веб-сайты и поражает пользователей Windows. Для атак хакеры используют эксплоит-кит Angler. Но перед тем как зашифровать данные на компьютере пользователя и потребовать выкуп, злоумышленники воруют учетные данные своих жертв.
Исследователи Heimdal Security сообщают, что атака производится в несколько этапов. Первый пэйлоуд, который попадает на устройство жертвы, это вредонос Pony. Он систематически собирает данные о любых логинах и паролях пользователя и переправляет их на командный сервер атакующих.
Специалисты компании поясняют, что для расширения вредоносной кампании хакерам нужно как можно больше скомпрометированных веб-серверов и CMS. Ведь основной способ распространения «инфекции», это веб-сайты, в страницы которых внедрен вредоносный скрипт. Так что хакеры тратят дополнительное время на сбор учетных данных, расширяя таким образом масштабы своей кампании.
Когда данные о логинах и паролях собраны, жертву перенаправляют на вредоносный сайт, где её систему поражает известный экслоит-кит Angler. Малварь ищет уязвимости в сторонних программах и как только находит, на компьютер жертвы устанавливается новейшая версия самого опасного на сегодняшний день трояна-шифровальщика — CryptoWall 4.0.
Эксперты Heimdal Security пишут, что атака берет начало с неназванного защищенного хостинга на Украине. Также заражены более 100 веб-страниц в Дании, но кампания не ограничивается одними только странами Европы. Heimdal Security сообщает, что только за последние 24 часа были заблокированы более 200 новых доменов, которые использовались для распространения CryptoWall 4.0 и Pony посредством Angler.
Недавно жертвой Angler стал веб-сайт популярного издания Reader’s Digest. Ресурс заражал посетителей шифровальщиком CryptoWall 3.0 на протяжении нескольких недель. Не совсем ясно, относился ли данный инцидент к вредоносной кампании, описанной Heimdal Security. Все же хакеры, о которых пишут исследователи, используют новейшую версию Angler и CryptoWall 4.0.
Смотрите также:
- 2015/12/05Китайские хакеры используют Dropbox для связи с C&C серверами
- 2015/12/05В ходе взлома VTech пострадали 11 млн пользователей, украдены фото и логи детей
- 2015/12/04Без лоха и жизнь плоха или как воруют Айфоны. Российские мошенники используют фишинговый сайт iCloud для разблокировки краденых айфонов
- 2015/12/04Суд Лондона грозит беглому банкиру Пугачеву арестом за неявку на слушания по делу о неуважении к суду
- 2015/12/03Александр Дрозденко готовит Ленобласть своим. Губернатор засветил компрометирующие его связи с крупным землевладельцем Андреем Березиным
- 2015/12/03Во имя отца и сына и их кипрского оффшора Грефов. Каждому из доносов, подписанных главой Сбербанка, "приделывают ноги", а также клонируют их, меняя лишь подписантов
- 2015/12/03Первый банкрот Госдумы. Нечужой кредитор ввел депутата Олега Михеева в состояние несостоятельности
Комментарии:
Написать комментарий