Для выполнения вредоносного кода Cryptowall злоумышленники используют CHM-файл

Издание Help Net Security со ссылкой на ИБ-компанию Bitdefender Labs сообщило о новой спам-кампании по распространению вымогательского ПО Cryptowall. По словам экспертов, вредоносные письма рассылались пользователям по всему миру, в том числе в Великобритании, США, Нидерландах, Швеции, Дании, Австралии и Словакии. Как показал их анализ, связанные со спам-письмами серверы находились в Австралии, Индии, Вьетнаме, США, Испании и Румынии.

Представитель Bitdefender Labs Каталин Косой (Catalin Cosoi) отметил, что злоумышленники использовали слегка устаревший, но эффективный способ автоматического выполнения кода на компьютере жертвы и шифрования его содержимого – вредоносное вложение .chm. Косой пояснил, что .chm является расширением файлового формата Compiled HTML, использующегося для доставки пользователям инструкции к ПО.

«Эти CHM-файлы чрезвычайно интерактивны и работают с несколькими технологиями, в том числе с JavaScript, который перенаправляет пользователя по внешнему URL всего лишь при открытии CHM, – отметил эксперт. – Злоумышленники стали использовать CHM-файлы для автоматического запуска вредоносной полезной нагрузки сразу же при открытии файла. В этом есть смысл – чем меньше взаимодействия, тем большая вероятность инфицирования».

Как только жертва открывает вредоносное .chm-вложение, из локации http:// *********/putty.exe в директорию %temp%\natmasla2.exe загружается код, а затем выполняется. Во время процесса открывается окно командной строки.