Компания ESET — лидер в области проактивного обнаружения — предупреждает о повышенной активности вредоносного загрузчика Nemucod. Теперь угроза одновременно распространяет программу-вымогателя и бэкдоры для накручивания кликов.
На компьютеры жертв Nemucod попадает с помощью вредоносных вложений электронной почты, которые содержат зараженный исполняемый файл JavaScript. В случае открытия вложения пользователь запускает Nemucod, после чего данная угроза загружает на устройство жертвы сразу 5 файлов. Первые два, которые продукты ESET распознали как Win32/Kovter и Win32/Boaxxe, дают возможность киберпреступникам удаленно управлять компьютерами жертв.
В частности с помощью бэкдора Boaxxe злоумышленники осуществляют загрузку и запуск файлов, а также устанавливают расширение для популярных браузеров, таких как Chrome и Firefox. Кроме этого, соединяясь с командным сервером (C&C), троян может использовать инфицированный компьютер в качестве прокси-сервера для накручивания кликов или увеличения трафика определенных веб-сайтов.
Остальные три загруженных файла ищут ценную информацию на компьютере жертвы и шифруют ее, требуя выкуп за разблокировку. Для запуска программы-вымогателя загрузчик Nemucod сначала устанавливает PHP-интерпретатор и дополнительную библиотеку PHP. Только после этого загружается третий файл, который запускает процесс шифрования.
Угроза шифрует файлы около 120 расширений, включая документы, изображения, видео, звуковые файлы и изменяет их расширения на «.crypted». После этого Nemucod создает текстовый файл с требованием выкупа. В конце концов, интерпретатор РНР, его библиотека и шифратор файлов удаляются с компьютера жертвы.
Напомним, неделю назад специалисты ESET сообщали, что Nemucod вместо вредоносных программ, которые блокируют компьютер и требуют выкуп за разблокировку, начал загружать на устройства жертв бэкдор Kovter. В то же время в Бразилии загрузчик распространяет троян Win32/Spy.Banker.ADEA, который может получать доступ к именам и паролям пользователей в популярных браузерах, а также учетным данным клиентов электронной почты Outlook.