Компанія ESET — лідер у галузі проактивного виявлення — попереджає про нову хвилю атак небезпечного трояна-завантажувача Nemucod. Цього разу замість шкідливих програм, які блокують комп’ютер та вимагають викуп за розблокування, загроза завантажує на пристрої користувачів бекдор, що дозволяє кіберзлочинцям віддалено управляти комп’ютерами жертв без їх відома.
На початку 2016 року троян-завантажувач використовувався для здійснення декількох масштабних кібер-атак, а кількість виявлення Nemucod станом на березень досягла 24% від загального числа виявлених загроз у світі. У деяких країнах рівень поширення небезпечної програми перевищував 50%. Більше того, Nemucod завантажував на комп’ютери жертв такі відомі сімейства програм-вимагачів, як Locky або TeslaCrypt.
Сьогодні ж за допомогою небезпечного завантажувача поширюється бекдор, метою якого є натискання на рекламні оголошення. Продукти ESET розпізнають дану загрозу як Win32/Kovter. Бекдор здійснює свою шкідливу діяльність через вбудований браузер. Kovter одночасно активує як мінімум 30 окремих потоків, відвідуючи веб-сайти та натискаючи на оголошення. Число потоків може змінюватися кіберзлочинцем або загрозою самостійно після моніторингу рівня продуктивності комп’ютера. Наприклад, шкідлива програма починає використовувати більше ресурсів комп'ютера під час перебування пристрою в режимі очікування.
Kovter поширюється електронною поштою під виглядом рахунків на товари. Прикріплені до листа ZIP-вкладення містять інфікований виконуваний файл JavaScript. Після натискання на архів введений в оману користувач запускає Nemucod, який, в свою чергу, завантажує Kovter на пристрій жертви та запускає його.
У зв'язку з високою активність небезпечного трояна-завантажувача Nemucod спеціалісти ESET настійно рекомендують користувачам дотримуватися наступних правил безпеки під час роботи з електронною поштою:
- Переглядайте приховані розширення файлів. Шкідлива програми може потрапити на пристрій у вигляді файлів з подвійним розширенням. Оскільки ОС Windows за замовчуванням приховує відомі розширення файлів, перегляд розширення файлу може полегшити процес виявлення підозрілого програмного забезпечення.
- Встановіть в електронній пошті фільтр файлів з розширеннями * .EXE, * .bat, * .CMD, * .SCR, * .JS. Крім цього, Ви можете заборонити повідомлення, відправлені із вкладенням файлів з двома розширеннями, які закінчуються на вказані розширення (наприклад, «*.*.EXE»).
- У разі необхідності обміну такими типами файлів уважно перевіряйте адресу відправника та здійснюйте сканування підозрілих повідомлень надійним антивірусним рішенням.