Вирус-вымогатель научился заражать пользователей через поисковик от Google
Как сообщается, с конца сентября 2013 годавнимание экспертов привлекла уже известная вредоносная программа Nymaim - троянс функциями вымогателя.
Раньше заражение этим ПО осуществлялось припомощи известного комплекта взломщиков-эксплойтов BlackHole, которыеиспользовали имеющиеся на компьютере уязвимости приложений или операционнойсистемы для доставки вредоносного кода.
Однако недавно появилась информация о том, чтоавтор комплекта BlackHole был задержан в России. Похоже, в этой связизлоумышленники стали использовать новый способ заражения пользователей.
С конца сентября было зафиксировано большоеколичество обнаружений этой вредоносной программы среди загруженных при помощибраузера файлов. Эксперты установили, что реферальные ссылки, ведущие назагрузку вредоносных файлов, принадлежат Google. Это означает, что перед заражениемпользователь ввел в Google-поиск некий запрос и кликнул на одну из ссылок впоисковой выдаче.
Согласно результатам исследования веб-страниц,которые инициировали загрузку вредоносного кода, для масштабного заражениязлоумышленники использовали т.н. "темную поисковую оптимизацию" (Black HatSEO), с помощью которой продвигали специально созданные вредоносные страницы втоп выдачи по популярным ключевым словам.
Кликнув на такую ссылку в поисковой выдаче,пользователь перенаправляется на вредоносную страницу и инициирует загрузкуархива, название которого – для повышения доверия пользователей – соответствуетвведенному в строку поиска тексту. Т.е. один и тот же архив будет загружен сразными именами, в зависимости от поискового запроса. Вот несколько примеровобнаруженных экспертами ESET названий одного файла:
- video-studio-x4.exe
- speakout-pre-intermediate-wb-pdf.exe
- new-headway-beginner-3rd-edition.exe
- donkey-kong-country-3-rom-portugues.exe
- barbie-12-dancing-princesses-soundtrack.exe
По словам представителей ESET, Win32/Nymaimзаражает систему в два этапа. Попав на компьютер, первый вредоносный файлосуществляет скрытую загрузку и запуск второго файла, который, в свою очередь,также может загружать дополнительное вредоносное ПО, а может и простоблокировать операционную систему для получения выкупа.
Аналитики обнаружили более десятка вариантовэкрана блокировки, созданных на разных языках и с различным оформлением.Нетрудно догадаться, что их целью были пользователи из разных стран Европы иСеверной Америки. На данный момент обнаружены экраны блокировки из Австрии,Великобритании, Германии, Ирландии, Испании, Канады, Мексики, Нидерландов,Норвегии, Румынии, Франции и США. Однако, этот список не является окончательным– скорее всего, существуют пострадавшие и в других странах. Пользователь излюбой страны может быть заражен.
Интересно, что стоимость выкупа отличается дляразных стран. В большинстве из найденных экранов блокировки цена выкупасоставляет около $150, однако пользователей из США просят заплатить заразблокировку самую высокую цену - $300 долларов; в Румынии же зараженныйпользователь может отделаться "всего лишь" 100 ?, т.е. около $135.
Эксперты отмечают, что вся активность троянаWin32/Nymaim осуществляется в рамках кампании по распространению злонамеренногоПО, в процессе которой вредоносные Apache-модули заражают легальныевеб-сервера, что приводит к перенаправлению пользователей на вредоносные сайты.Эта кампания, называемая The Home Campaign, продолжается с февраля 2011 года.По данным независимых исследований, за это время злоумышленники заразили почти3 млн компьютеров.
Ранее Корресопндент.biz писал, что правительствоСША оказалось крупнейшей организацией, которая приобретает вредоносное ПО на"сером" рынке: Министерство обороны и спецслужбы США платятзначительные деньги за так называемые уязвимости "нулевого дня" -критические пробелы в ПО, о которых ранее не было известно it-аналитикам.