Поддельный спам UPS доставляет два вредоносных пакета

Вредоносный спам — это классический метод взлома, который до сих пор оказывается успешным, особенно когда рассматриваемые электронные письма выглядят вполне законными. Цель вредоносного спама — получить, как следует из названия, вредоносное ПО для заражения компьютера через спам-письмо. Так обстоит дело с текущей кампанией вредоносного спама, за которой специалисты по безопасности отслеживают с конца июня. По словам Брэда Дункана, исследователя из Института SANS, рассматриваемый вредоносный спам выдает себя за электронную почту от United Parcel Service и содержит папку.zip с программой-вымогателем NemucodAES и вредоносным ПО Kovter.

Как пишет Дункан в своем отчете: «Большинство организаций легко обнаруживают вредоносный спам с zip-архивами, содержащими файлы JavaScript», но для многих организаций «расследование заблокированных электронных писем занимает довольно низкое место в списке их приоритетов». Это проблематично, так как этот конкретный вредоносный спам содержит два довольно мощных штамма вредоносного ПО.

Первый из них, NemucodAES, представляет собой программу-вымогатель, написанную на JavaScript и PHP. Он может, помимо шифрования ваших файлов с помощью TeslaCrypt (или других двоичных файлов вымогателей), загружать другие вредоносные программы. Это самая последняя версия вируса-вымогателя Nemucod, и хотя дешифраторы существуют, добавление другого вредоносного ПО делает эту атаку более сложной, поскольку она атакует машину двумя способами, как на уровне машины, так и на уровне клиента: боковой уровень.

Вторая загрузка.zip — старая вредоносная программа под названием Kovter. Первоначально он был известен как программа-вымогатель, но в конечном итоге был отформатирован как вредоносное ПО для мошенничества с кликами. В основном это создает ситуацию, в которой вредоносный скрипт генерирует клики для многочисленных веб-сайтов (которые также являются вредоносными) по очевидным финансовым причинам. Во время заражения хакер может проникнуть и получить контроль над вашей машиной. Даже если компьютер будет расшифрован, а программа-вымогатель будет удалена, вам все равно придется иметь дело с тем фактом, что ваш компьютер использовался в качестве центра для мошенничества с кликами или чего-то похуже. Объем вредоносного трафика, который заполнит вашу машину к этому моменту, значителен.

Жертв заманивают загрузить ZIP-файл, содержащий NemucodAES и Kovter, поскольку в электронном письме (показанном ниже) утверждается, что вложение связано с недоставленным пакетом из UPS.

На самом деле ZIP-файл содержит следующий вредоносный код:

Затем жертва получает следующее сообщение:

Стратегия предотвращения заражения этим вредоносным спамом двояка. Во-первых, Дункан утверждает, что «при надлежащем мониторинге сети трафик от заражения легко обнаруживается. Но некоторые из этих сообщений могут пройти мимо вашей фильтрации, и некоторые люди могут заразиться». Таким образом, необходимо изучить природу вредоносного спама и понять, как не поддаться запросам на загрузку. Если эти две контрмеры будут развернуты, есть шанс, что по мере развития этой кампании вы сможете обезопасить себя и свою сеть.