В качестве прокси для C&C-сервера используются скомпрометированные web-сайты.
Исследователь безопасности под псевдонимом 3x0a сообщил о новой вредоносной кампании njRat, в ходе которой злоумышленники применяют довольно старые техники. Главной отличительной чертой кампании является использование скомпрометированных web-сайтов в качестве прокси для C&C-сервера и тактика FakeAV. Использование фальшивого антивируса для заражения компьютеров была очень популярна лет десять тому назад, и, похоже, применяется до сих пор.
«Подхватить» инфекцию можно через интернет, SMS-сообщения, спам, личные сообщения в мессенджерах и т.д. При попадании на скомпрометированный сайт пользователь сталкивается с всплывающим уведомлением о том, что Windows Security обнаружил на ПК критическую активность и проведет быстрое сканирование системных файлов. Далее в браузере появляется окно наподобие «Мой компьютер» в Windows XP, в котором сообщается, что ПК заражен множеством вирусов.
Нажав на любую кнопку на странице, пользователь инициирует загрузку Antivirus2015.exe. При запуске фальшивого антивируса появляется окно, в котором на ломанном английском сообщается, что на компьютере вирусы не обнаружены («Your Computer not found of virus»). Поддельное антивирусное ПО добавляет себя в процесс начальной загрузки ПК, в результате чего запускается при каждом включении компьютера.
По словам 3x0a, кампания njRat длится уже довольно долго. Наиболее ранний из обнаруженных им образцов вредоносного ПО был добавлен 7 месяцев назад. IP-адрес C&C-сервера свидетельствует о том, что управление операцией осуществляется из Саудовской Аравии.
5778 К? Пф! У нас градус знаний зашкаливает!