Шифровальщик Nemty распространяется через фальшивый сайт PayPal

Операторы зловреда-шифровальщика Nemty изыскивает новые способы для расширения атак. Ранее исследователи обнаружили, что загрузчик Nemty был добавлен в «арсенал» набора эксплойтов RIG. Теперь же сразу несколько экспертов сообщили, что для распространения вредоносного ПО создан сайт, имитирующий страницу платежного сервиса PayPal. Злоумышленники весьма тщательно воспроизвели дизайн оригинального ресурса. Для его создания они использовали так называемое «омографическое» доменное имя. Смысл этой манипуляции состоит в том, что при регистрации домена часть символов имени вводится на латинице, а часть – в других кодировках (в данном случае кириллической). В результате полученный домен paypal.com выглядит в адресной строке как подлинный домен платежного сервиса.

Сайт рекламирует программу кэшбэка, обещая возврат 3-5% средств при оплате покупок через PayPal. Для участия в программе предлагается загрузить файл cashback.exe, который и устанавливает на компьютеры под управлением ОС Windows шифровальщик Nemty. Зловреду требуется порядка 7 минут для шифрования всех файлов на устройстве. За ключ расшифровки организаторы атак требуют около тысячи долларов в криптовалюте Bitcoin.

К счастью, большинство основных браузеров идентифицируют сайт как небезопасный и предупреждают пользователя о возможных последствиях перехода. Кроме того и зловред Nemty распознается 36 из 68 ведущих защитных решений. Тем не менее, легитимный с виду адрес и неотличимый от оригинального дизайн страницы, а также стремление сэкономить могут подтолкнуть пользователей к опрометчивым действиям, предостерегают исследователи. Они также обращают внимание на еще одну особенность вредоносного ПО. Перед запуском оно инициирует проверку isRU – выясняет, не находится ли устройство в России, Украине, Беларуси, Казахстане или Таджикистане. В случае, если компьютер находится в одной из этих стран, дальнейшая активность блокируется и шифрования файлов не происходит.


Источник:  Bleepingcomputer

Возврат к списку