Компанія ESET — лідер у галузі проактивного виявлення — попереджає про зростання активності небезпечного завантажувача Nemucod. Тепер загроза одночасно поширює шкідливу програму-вимагача та бекдори для накручування кліків.
На комп’ютери жертв Nemucod потрапляє за допомогою небезпечних вкладень електронної пошти, що містять інфікований виконуваний файл JavaScript. У разі відкриття вкладення користувач запускає Nemucod, який, в свою чергу, завантажує на пристрій жертви відразу 5 файлів. Перші два, які продукти ESET розпізнають як Win32/Kovter та Win32/Boaxxe, дають можливість кіберзлочинцям віддалено управляти комп’ютерами жертв.
Зокрема за допомогою бекдору Boaxxe зловмисники здійснюють завантаження та запуск файлів, а також встановлюють розширення для популярних браузерів, таких як Chrome та Firefox. Крім цього, з’єднуючись з командним сервером (C&C), троян може використовувати інфікований комп'ютер як проксі-сервер для накручування кліків або збільшення трафіка певних веб-сайтів.
Інші три завантажені файли шукають найціннішу інформацію на комп’ютері жертви та шифрують її, вимагаючи викуп за розблокування. Для запуску програми-вимагача завантажувач Nemucod спочатку встановлює PHP-інтерпретатор і додаткову бібліотеку PHP. Тільки після цього завантажується третій файл, який запускає процес шифрування.
Загроза шифрує файли близько 120 розширень, включаючи документи, зображення, відео, звукові файли та змінює їхнє розширення на «.crypted». Після цього Nemucod створює текстовий файл із вимогою викупу. Зрештою, інтерпретатор РНР, його бібліотека та шифратор файлів видаляються з комп’ютера жертви.
Нагадаємо, тиждень тому спеціалісти ESET повідомляли, що Nemucod замість шкідливих програм, які блокують комп’ютер та вимагають викуп за розблокування, почав завантажувати на пристрої жертв бекдор Kovter. У той же час у Бразилії завантажувач поширює троян Win32/Spy.Banker.ADEA, який може отримувати доступ до імен та паролів користувачів у популярних браузерах, а також до облікових даних клієнтів електронної пошти Outlook.