Загрузчик Nemucod распространяет вредоносный бэкдор

Компания ESET — лидер в области проактивного обнаружения — предупреждает о новой волне атак вредоносного трояна-загрузчика Nemucod. На этот раз вместо вредоносных программ, которые блокируют компьютер и требуют выкуп за разблокирование, угроза загружает на устройства пользователей бэкдор, что позволяет киберпреступникам удаленно управлять компьютерами жертв без их ведома.

В начале 2016 года данный троян-загрузчик использовался для осуществления нескольких масштабных кибер-атак, а количество выявлений Nemucod по состоянию на март достигло 24% от общего числа обнаруженных угроз в мире. В некоторых странах уровень распространения программы превышал 50%. Более того, Nemucod загружал на компьютеры жертв такие известные семейства программ-вымогателей, как Locky или TeslaCrypt.

Сегодня же с помощью загрузчика распространяется бэкдор, целью которого является нажатие на рекламные объявления. Продукты ESET распознают эту угрозу как Win32/Kovter. Бэкдор осуществляет свою вредоносную деятельность через встроенный браузер. Kovter одновременно активирует как минимум 30 отдельных потоков, посещая сайты и нажимая на объявление. Число потоков может изменяться киберпреступниками или угрозой самостоятельно после мониторинга уровня производительности компьютера. Например, вредоносная программа начинает использовать больше ресурсов компьютера во время пребывания устройства в режиме ожидания.

Kovter распространяется по электронной почте под видом счетов на товары. Прикрепленные к письму ZIP-вложения содержат зараженный исполняемый файл JavaScript. После нажатия на архив введенный в заблуждение пользователь запускает Nemucod, который, в свою очередь, загружает Kovter на устройство жертвы и запускает его.

В связи с высокой активностью вредоносного трояна-загрузчика Nemucod специалисты ESET настоятельно рекомендуют пользовать придерживаться следующих правил безопасности при работе с электронной почты:

  1. Смотрите скрытые расширения файлов. Вредоносная программа может попасть на устройство в виде файлов с двойным расширением. Поскольку ОС Windows по умолчанию скрывает известные расширения файлов, просмотр расширения файла может облегчить процесс обнаружения подозрительного программного обеспечения.
  2. Установите в электронной почте фильтр файлов с расширениями * .EXE, * .bat, * .CMD, * .SCR, * .JS. Кроме этого, Вы можете запретить сообщения, отправленные с вложениями файлов с двумя расширениями, которые заканчиваются на указанные расширения (например, «*. *. EXE»).
  3. В случае необходимости обмена такими типами файлов внимательно проверяйте адрес отправителя и осуществляйте сканирование подозрительных сообщений надежным антивирусным решением.