Специалисты компании Heimdal Security обнаружили вымогательское ПО, которое использует не совсем обычную схему работы. Малварь распространяется через плохо защищенные веб-сайты и поражает пользователей Windows. Для атак хакеры используют эксплоит-кит Angler. Но перед тем как зашифровать данные на компьютере пользователя и потребовать выкуп, злоумышленники воруют учетные данные своих жертв.
Исследователи Heimdal Security сообщают, что атака производится в несколько этапов. Первый пэйлоуд, который попадает на устройство жертвы, это вредонос Pony. Он систематически собирает данные о любых логинах и паролях пользователя и переправляет их на командный сервер атакующих.
Специалисты компании поясняют, что для расширения вредоносной кампании хакерам нужно как можно больше скомпрометированных веб-серверов и CMS. Ведь основной способ распространения "инфекции", это веб-сайты, в страницы которых внедрен вредоносный скрипт. Так что хакеры тратят дополнительное время на сбор учетных данных, расширяя таким образом масштабы своей кампании.
Когда данные о логинах и паролях собраны, жертву перенаправляют на вредоносный сайт, где её систему поражает известный экслоит-кит Angler. Малварь ищет уязвимости в сторонних программах и как только находит, на компьютер жертвы устанавливается новейшая версия самого опасного на сегодняшний день трояна-шифровальщика — CryptoWall 4.0.
Эксперты Heimdal Security пишут, что атака берет начало с неназванного защищенного хостинга на Украине. Также заражены более 100 веб-страниц в Дании, но кампания не ограничивается одними только странами Европы. Heimdal Security сообщает, что только за последние 24 часа были заблокированы более 200 новых доменов, которые использовались для распространения CryptoWall 4.0 и Pony посредством Angler.
Недавно жертвой Angler стал веб-сайт популярного издания Reader's Digest. Ресурс заражал посетителей шифровальщиком CryptoWall 3.0 на протяжении нескольких недель. Не совсем ясно, относился ли данный инцидент к вредоносной кампании, описанной Heimdal Security. Все же хакеры, о которых пишут исследователи, используют новейшую версию Angler и CryptoWall 4.0.
Фото: Shutterstock
