Троян-шифровальщик Cryptowall 4.0 распространяется с помощью Angler


Trojan-shifrovalshikЭкспертами из компании Heimdal Security была выявлена новая вредоносная кампания по распространению трояна-шифровальщика Cryptowall 4.0.

Сразу стоит напомнить, что ранее инфицирование системы данным шифровальщиком происходило с помощью спам-писем. Теперь же арсенал злоумышленников пополнился наборами эксплоитов. Вслед за Nuclear распространять Cryptowall 4.0 через скомпрометированные web-страницы начал еще один набор эксплоитов – Angler.

В рамках кампании шифровальщик попадает на систему в два этапа. Сначала система инфицируется вредоносным ПО Pony, похищающим и отправляющим на C&C-серверы учетные данные пользователей.

Цель злоумышленников - получение доступа к серверам и системам управления контентом с помощью легитимных учетных данных и внедрение в сайты вредоносного скрипта. Таким образом, кампания может затронуть максимальное количество пользователей.

Затем, с легитимного сайта жертва перенаправляется на скомпрометированный. Через браузер пользователя на уязвимую систему загружается набор эксплоитов. Далее Angler эксплуатирует обнаруженные уязвимости и инфицирует систему трояном-шифровальщиком Cryptowall 4.0.

Только на этой неделе экспертами было заблокировано свыше двухсот связанных с трояном доменов. Хостинг большинства из этих доменов находится в Украине.


Напомним:

  • Cryptowall 4.0 – четвертое поколение самого опасного на сегодняшний день трояна-шифровальщика Cryptowall. Впервые новая модификация была обнаружена в конце ноября 2015 года. Cryptowall 4.0 получил существенные улучшения по сравнению с предыдущими версиями.

  • Angler – набор эксплоитов для осуществления атак "drive-by download". Впервые он был обнаружен в 2013 году. С тех пор инструмент завоевал огромную популярность у киберпреступников. Angler способен успешно обходить обнаружение продуктами безопасности, при этом умело эксплуатирует уязвимости в ПО.

  • Pony – вредоносное ПО для похищения учетных данных свыше 110 приложений, в том числе:
    • VPN;
    • FTP;
    • электронной почты;
    • мессенджеров;
    • браузеров.

Обновлено (03.12.2015 22:13)