Złośliwe pliki pomocy atakują skrzynki

Przeczytaj także: Ile zarabiają cyberprzestępcy?

Co ciekawe, hakerzy uciekli się do bardzo „modnego”, a zarazem skutecznego sposobu, by automatycznie wprowadzić złośliwe oprogramowanie na komputery swoich ofiar poprzez szkodliwe załączniki o rozszerzeniu *.chm.

Chm jest rozszerzeniem odnoszącym się do skompilowanych plików w formacie HTML, używanych do dostarczania instrukcji obsługi wraz z aplikacjami. Ten format uzyskiwany jest ze skompresowania dokumentów HTML, obrazków oraz plików JavaScript, wspólnie z łączem spisu treści, indeksu i wyszukiwania.

Jak działa szkodliwy plik pomocy?

Pliki te są wysoce interaktywne i mogą spowodować uruchomienie szeregu technologii, w tym JavaScript, które przekierowują użytkownika na zewnętrzny adres URL przy otwieraniu plików CHM. Napastnicy zaczęli wykorzystywać pliki CHM do automatycznego uruchamiania szkodliwych zawartości zaraz po otwarciu pliku. Ma to swój sens: w mniejszej interakcji z użytkownikiem istnieją większe szanse na bezproblemowe oraz niezauważone rozprzestrzenienie się zagrożenia.

Wirus rozprzestrzenia się poprzez spam. Fałszywe e-maile z raportami faksów podszywają się pod automatyczne konta w domenie użytkownika.

Gdy tylko zawartość archiwum *.chm zostanie uruchomiona, złośliwy kod jest pobrany z zewnętrznej lokalizacji jako plik http://***/putty.exe i zapisze się jako %temp%\natmasla2.exe, po czym zacznie się proces jego wykonania. W trakcie tego procesu uruchomi się okno wiersza poleceń.

Cryptowall jest zaawansowaną wersją Cryptolockera, szkodliwego ransomware szyfrującego pliki, znanego z maskowania ładunku wirusa w niegroźnej aplikacji lub pliku. Działanie ransomware polega na wniknięciu do wnętrza atakowanego komputera i zaszyfrowaniu danych należących do użytkownika w celu wymuszenia pieniędzy za klucz służący do ich deszyfrowania.

Pierwsza fala infekcji przez e-mail wystąpiła 18 lutego i skierowana została do kilkuset użytkowników. Serwery spamu zlokalizowane są w: Wietnamie, Indiach, Australii, USA, Rumunii i Hiszpanii. Po analizie nazw domen odbiorców wnioskujemy, że osoby atakujące ukierunkowały swój atak na użytkowników z całego świata, w tym z USA, Australii i wielu krajów Europy, w większości z Holandii, Danii, Szwecji i Słowacji.

Artykuł bazuje na próbkach spamu przedstawionych dzięki uprzejmości badacza spamu firmy Bitdefender – Adriana MIRON, oraz analityków wirusów Bitdefender Doina COSOVAN i Octaviana MINEA.

Jak obronić się przed Cryptowallem?

Pracownicy laboratoriów Bitdefender zalecają przechowywanie kopii danych na dyskach zewnętrznych.

Aby rozszerzyć ochronę, Bitdefender opracował Cryptowall Immunizer, narzędzie, które pozwala na uodpornienie komputerów i zablokowanie prób szyfrowania plików, zanim do tego dojdzie.