Файл содержит код JavaScript с IP-адресом, перенаправляющим жертв на ресурс, содержащий CryptoWall.
Исследователи ИБ-компании AppRiver зафиксировали кампанию, в ходе которой злоумышленники пытались распространять вымогательское ПО при помощи файлов SVG.
Как пояснили специалисты, преступники рассылали электронные письма, к которым было прикреплено фальшивое резюме. Приложение к письму представляло собой ZIP-архив, содержавший файл с расширением SVG. Он включал небольшой код JavaScript, который злоумышленники использовали для перенаправления жертв на вредоносную страницу, распространявшую вымогательское ПО.
Код JavaScript, проанализированный специалистами, содержал IP-адрес, перенаправлявший пользователей на ресурс, содержащий CryptoWall – один из наиболее популярных представителей семейства вымогателей. Вредонос инфицирует компьютер жертвы и шифрует важные файлы, требуя затем выкуп за их дешифрование.
CryptoWall уже не раз доказывал свою эффективность тем, что пользователи в большинстве случаев действительно платят требуемую сумму, отмечают эксперты. Данная практика до сих пор существует и, скорее всего, продолжит развиваться дальше. Исследователи AppRiver рекомендуют пользователям делать резервные копии важных файлов и сохранять там, где вредоносы не смогут до них добраться.
При анализе исполняемого файла была замечена интересная деталь – он содержал SQL-команды с жесткой кодировкой, которые, по всей видимости, таргетировали базы данных школ. Тем не менее, эксперты не исключают вероятности того, что данные команды были включены просто для усложнения проведения анализа вредоносного ПО.
И мы тоже не спим, чтобы держать вас в курсе всех угроз