Новая версия Kovter кликает по рекламным ссылкам


ESET NOD32Компания ESET предупреждает о росте активности загрузчика Nemucod. В свою очередь, данная троянская программа распространяет бэкдор Kovter, кликающий по рекламным ссылкам.

Напомним, с начала 2016 года Nemucod использовался в нескольких крупных киберкампаниях. Его доля достигала 24% в общемировом объеме вредоносных программ, а уровень  распространенности в отдельных странах превышал 50%. Ранее загрузчик распространял шифраторы, включая Locky и TeslaCrypt.

В недавно зафиксированной облачной системой ESET LiveGrid вредоносной кампании, Nemucod используется в качестве загрузчика бэкдора Kovter. Данный вредонос предназначен для накрутки кликов по рекламным объявлениям.

Распространяется новая версия Nemucod посредством спам-рассылки. К письму прилагается ZIP-архив, где под видом счета-фактуры скрывается исполняемый файл. В случае запуска пользователем зараженного файла, Nemucod загрузит на компьютер Kovter.

Задача Kovter предоставить атакующим удаленный доступ к ПК жертвы. Модификация бэкдора кликает по рекламным ссылкам, используя для этого встроенный браузер. Кликер поддерживает до 30 потоков, в каждом из которых посещает сайты и накручивает просмотры рекламы. При этом число потоков может меняться по команде или автоматически – все зависит от текущей производительности компьютера.

Чтобы не стать жертвой Nemucod специалисты по безопасности настоятельно рекомендуют соблюдать базовые правила безопасности и уделить внимание настройкам почты:

  • по возможности необходимо заблокировать все отправления с файлами .EXE, .BAT, .CMD, .SCR, .JS (если почтовый клиент или сервер позволяет блокировать вложения по расширению);
  • выставить отображение расширения файлов в операционной системе. Такой подход поможет распознать подделки, использующие двойное расширение (например, исполняемый файл INVOICE.PDF.EXE под видом безвредного INVOICE.PDF);
  • необходимо тщательно проверять адреса и сканировать письма и вложения надежным продуктом для безопасности.

Обновлено (27.08.2016 14:43)