Исследователи румынской компании Bitdefender, целью которой является защита данных, обнаружили новую спам-рассылку, нацеленную на распространение мощного блокера-шифровальщика Cryptowall.
На сей раз вымогатели избрали не совсем обычный формат для вредоносного файла — .chm, чтобы свести к минимуму необходимое взаимодействие с потенциальной жертвой и повысить вероятность заражения.
Дело в том, что .chm (Compiled HTML Help), разработанный Microsoft формат файлов контекстной справки, позволяет автоматически запускать содержимое при открытии файла. Такие файлы обычно содержат набор html-документов, изображений, JavaScript, подвергнутых сжатию. Они могут также включать содержание с гиперссылками, индекс ключевых слов или базу для полнотекстового поиска по содержимому страниц.
«Эти файлы в высокой степени интерактивны и используют ряд технологий, включая JavaScript, который может перенаправить пользователя по внешней ссылке сразу после открытия .chm, — поясняет главный стратег Bitdefender Каталин Косой (Catalin Cosoi). — Злоумышленники начали использовать chm-файлы, чтобы автоматически запускать вредоносный код, который происходит при их открытии. В этом есть здравый смысл: чем меньше взаимодействия с пользователем, тем выше шанс заражения».
Вредоносные сообщения, обнаруженные Bitdefender, имитируют уведомление о входящем факсе, в поле «From:» заголовка подставлен тот же домен, в котором размещен компьютер потенциальной жертвы. По всей видимости, данная спам-рассылка ориентирована на корпоративных служащих, ведь для организаций потеря доступа к важным данным грозит нарушением рабочих процессов, и вероятность уплаты выкупа за расшифровку файлов в таких случаях весьма высока.
Эксперты наблюдают новую Cryptowall-кампанию с прошлого месяца; вредоносные письма замечены на территории разных стран, в том числе в Великобритании, США, Нидерландах, Дании, Швеции, Словакии и Австрии. Насколько удалось определить, вредоносный спам распространяется с серверов Вьетнама, Индии, Австралии, США, Румынии и Испании. Нужно отметить, что год назад CryptoWall стал лидером на рынке вымогательского ПО. Хоть он и не такой технологически сложный и не такой прибыльный, как CryptoLocker, однако уже успел заразить гораздо больше систем.
Axarhöfði 14,
110 Reykjavik, Iceland