Nemucod servește pachete malițioase: Ransomware și ad-clickere


Săptămâna trecută, ESET a raportat faptul că Nemucod a făcut trecerea de la răspândirea de ransomware la descărcarea unui malware de tip ad-clicking, denumit Kovter. În acest caz, se pare că operatorii cunoscutului downloader au mers mai departe și servesc victimelor un întreg pachet – ransomware și ad-clickere.

Ca și în etapa anterioară, utilizatorul vizat primește un e-mail cu un atașament infectat care conține un fișier executabil cu extensia .js – downloader-ul. După rulare, va descărca cinci fișiere dintr-o dată. Primele două reprezintă ad-clickere detectate de ESET ca Win32/Kovter și Win32/Boaxxe.

Dar, acesta este doar începutul, iar celelalte trei fișiere rămase au un obiectiv foarte clar – să găsească cele mai valoroase fișiere de pe computer și să le cripteze. Pentru a rula ransomware-ul, Nemucod instalează un interpretor PHP și o librărie PHP suplimentară (aceste fișiere sunt, de fapt, curate). Apoi, al treilea fișier – detectat de ESET ca fiind PHP/Filecoder.D – este descărcat și își începe activitățile malițioase, prin folosirea unei chei de criptare hardcoded direct în codul malware.

Rezultatul? Fișierele ce conțin una dintre cele aproximativ 120 de extensii, fiind incluse aici fișiere MS Office, imagini, clipuri video, fișiere de sunet și altele, sunt criptate și primesc extensia “.crypted”. După ce ransomware-ul a realizat criptarea, Nemucod creează un fișier text cu o cerere de răscumpărare. În cele din urmă, interpretorul PHP, biblioteca și fișierul filecoder sunt eliminate din sistem.

Din punctul de vedere al restului de încărcătură malware, Boaxxe este un backdoor controlat de la distanță, ce poate descărca și executa fișiere sau poate instala extensii pentru browsere populare, precum Chrome sau Firefox. Mai mult decât atât, troianul se conectează la un server proxy, probabil ca un mijloc pentru creșterea traficului pe site-urile selectate sau pentru frauda de tip ad-clicking.

O altă activitate interesantă a lui Nemucod a fost observată săptămâna trecută în America Latină. Downloader-ul furniza Win32/Spy.Banker.ADEA în cantități mari utilizatorilor din Brazilia.

 

ONDREJ KUBOVIČ

Corespondent independent

 

oana August 22, 2016

Lasa un comentariu