Securitate — August 10, 2016 at 2:43 pm

O nouă campanie care răspândește un backdoor, în loc de ransomware

by
 

Nemucod, cel mai activ troinemucodan de tip downloader din 2016 s-a întors cu o nouă campanie. În loc să servească victimelor sale ransomware, livrează un backdoor detectat de ESET ca Win32/Kovter.

Nemucod a fost folosit în câteva campanii mari în 2016, atingând o cotă de 24% din rata de detecție la nivel global pe 30 martie 2016. Atacurile regionale în numite țări au avut un nivel de prevalență de peste 50% pe parcursul anului 2016. În trecut, sarcinile malware asociate Nemucod aparțineau în principal familiilor ransomware, cele mai frecvente fiind Locky sau TeslaCrypt. În cea mai recentă campanie detectată de sistemul ESET, încărcătura malware a Nemucod este un backdoor de tip ad-clicking, numit Kovter.

În calitate de backdoor, acest troian permite atacatorului să controleze echipamentul afectat de la distanță, fără consimțământul sau cunoștința victimei. Varianta analizată de către cercetătorii ESET a fost înzestrată cu capacitatea de ad-clic, mediată prin intermediul unui browser încorporat. Troianul poate activa până la 30 de thread-uri separate, fiecare vizitând site-uri web și generând clic-uri pe reclame. Numărul de thread-uri se poate schimba în funcție de comenzile primite de la atacator și pot fi modificate automat – din moment ce Kovter monitorizează utilizarea procesorului. În cazul în care computerul este inactiv, malware-ul poate aloca mai multe resurse pentru activitățile sale până când este detectată activitatea utilizatorului.

În mod standard pentru Nemucod, versiunea curentă care livrează Kovter se răspândește sub forma unui atașament ZIP trimis prin e-mail, deghizat ca o factură, ce conține în fapt un fișier executabil infectat de tip JavaScript. În cazul în care utilizatorul cade în capcană și execută fișierul infectat – downloader-ul Nemucod – descarcă Kovter pe mașină și îl execută.

În legătură cu Nemucod, experții în securitate de la ESET recomandă să urmăm regulile generale de prudență la navigarea pe internet și să urmăm de asemenea sfaturile specifice următoare:

  • În cazul în care clientul de e-mail sau serverul oferă oferă opțiunea de blocare a atașamentelor în funcție extensie, merită luată în considerare opțiunea de blocare a atașamentelor trimise cu extensiile .EXE, *.BAT, *.cmd, *.SCR și *.js.
  • Este indicat să se verifice dacă sistemul de operare afișează extensiile fișierelor. Acest lucru ajută la identificarea reală a tipului unui fișier în cazul unei extensii duble (de exemplu, ca nu cumva “FACTURA.PDF.EXE” este afișat ca “FACTURA.PDF”).
  • În cazul în care primiți în mod frecvent și în mod legitim acest tip de fișiere, verificați cu atenție cine este expeditorul și dacă există ceva suspect, scanați mesajul și anexele sale cu o soluție de securitate fiabilă.