Downloader de troieni Nemucod a revenit cu o nouă campanie. De data aceasta totuși, a schimbat încărcătura malware destinată victimelor sale – ransomware-ul nu mai este tactica lui malware. În prezent, "arma cu care se atacă" este un backdoor detectat de ESET ca Win32/Kovter, în acest caz, concentrându-se în principal pe ad-clicing.

În calitate de backdoor, acest troian permite atacatorului să controleze aparatul la distanță, fără consimțământul sau cunoștința victimei. Varianta utilizată în prezent, poate efectua patru activități principale: 1. Descărcă și rulează fișiere, 2. Colectează diverse informații și le trimite la un server C & C, 3. Păstrează datele de configurare în intrările Windows Registry și 4. Controlează propriile "funcții de clic".

În valul observat recent, operatorii de malware s-au concentrat în principal pe capacitatea de ad-clic livrată prin intermediul unui browser încorporat. Troianul poate activa până la 30 thread-uri separate, fiecare vizitând site-uri web și generând clic pe reclame. Numărul de stații se poate schimba în funcție de comenzile primite de la atacator și, de asemenea, le poate modifica automat - din moment ce Kovter monitorizează memoria liberă și utilizarea procesorului. Acest lucru ajută troianul să nu supraîncărce sistemului și să păstreze un profil scăzut.

Cu toate acestea, în cazul în care computerul este inactiv, malware-ul poate aloca mai multe resurse pentru activitățile sale până când este detectată activitatea utilizatorului. Atunci când este setat în configurația Kovter, se poate verifica, de asemenea, dacă aparatul infectat rulează într-un mediu controlat sau virtual și raportează acest fapt atacatorului.

Pentru a infiltra inițial codul Kovter, atacatorii din spatele campaniei folosesc downloader-ul Nemucod deghizat ca atașament ZIP pentru e-mail. Deghizat ca o factură, infractorii informatici încerca să convingă utilizatorii să deschidă atașamentul (aceștia neștiind că este disimulat un fișier executabil infectat JavaScript).

Această tehnică este utilizată pentru a evita detectarea în unele scanere e-mail pentru a ajunge la cât mai multe victime posibile. În cazul în care utilizatorul cade în capcană și execută fișierul infectat – downloader-ul Nemucod – descarcă Kovter pe mașină și-l execută.

Campaniile Nemucod similare au fost identificate de ceva timp. ESET a avertizat publicul cu privire la această amenințare încă de la sfârșitul lunii decembrie 2015 și din nou în martie 2016. Cu toate acestea, valuri trecute descărcau în primul rând familii ransomware, cele mai frecvente fiind Locky sau TeslaCrypt, în loc de backdoor-ul actual destinat pentru ad-clicking.

Cum se poate evita această amenințare?

• În cazul în care clientul dvs. de e-mail sau de server oferă blocarea atașamentelor pe bază de extensie, poate doriți să blocați mesajele trimise cu .EXE, *.BAT, *.cmd, *.SCR și *.js. fișierelor atașate
• Asigurați-vă că sistemul de operare afișează extensiile fișierelor. Acest lucru ajută la identificarea reală a tipului unui fișier în cazul unei extensii duble (de exemplu, "INVOICE.PDF.EXE" nu este afișat ca "INVOICE.PDF").
• În cazul în care primiți în mod frecvent și în mod legitim acest tip de fișiere, verificați cine este expeditorul și dacă există ceva suspect, scanați mesajul și anexele sale cu o soluție de securitate fiabilă.

ONDREJ KUBOVIČ
CORESPONDENT INDEPENDENT