Специалисты фирмы по кибербезопасности Cyble обнаружили киберпреступную кампанию, в рамках которой злоумышленники создают огромное количество поддельных сайтов для взрослых, через которые происходит заражение устройств пользователей программой-вымогателем, на деле оказывающейся вайпером, пытающимся удалить все файлы и данные с зараженной системы.
Эксперты из Cyble пока ещё не поняли, как именно злоумышленникам удаётся продвигать свои фейковые сайты для взрослых в поисковиках. Известно, что для названий таких ресурсов используются сочетания, которые указывают на присутствие соответствующего контента на страницах: nude-girls, sexyphotos, sexy-foto и т. д.
Специалисты отмечают, что на таких сайтах система предлагает пользователям скачать фотографии эротического содержания, которые в действительности оказываются исполняемыми файлами с расширением .exe, лишь замаскированными под изображения.
Если в настройках системы пользователя установлено скрытие расширений файлов, то ему будет показано имя скачанного файла SexyPhotos.JPG — это классический пример маскировки исполняемых файлов.
У киберпреступников здесь расчет на то, что пользователь подумает, что это фотография эротического содержания и попытается ее открыть. После запуска вредоносное ПО скопирует в целевую систему сразу 4 исполняемых файла (del.exe, open.exe, windll.exe и windowss.exe), а также 1 пакетный файл avtstart.bat в специальную директорию %temp%, а затем их запустит. Вместе с этим, пакетный файл будет копировать другие исполняемые файлы в папку автозагрузки — Windows Startup.
На последующем шаге происходит запуск windowss.exe и подгрузка ещё 3-х файлов, в том числе и windows.bat, который отвечает за переименование. Виды файлов и директории, на которые нацелено вредоносное ПО, приведены в таблице, представленной компанией Cyble:
При этом вредоносное ПО старается выдать себя за программу-вымогатель, потому что пользователю демонстрируется записка с требованием выкупа в размере 300 долларов в биткоинах:
Но эксперты Cyble отмечают, что вредонос является обычным вайпером, а не программой-вымогателем, потому что вредоносное ПО не крадёт данные. Больше того, у его операторов, судя по всему, даже нет инструмента для восстановления файлов, поэтому перевод денег киберпреступникам не имеет никакого смысла.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | YouTube | Rutube | Пульс.
