Злоумышленники распространяют CryptoWall 3.0 через Google Drive

image

Теги: атака, уязвимость, вымогательское ПО, шифрование

Преступники используют популярную платформу для загрузки функциональной части вируса.

Исследователи безопасности Heimdal Security зарегистрировали новую вредоносную кампанию, в ходе которой атакующие используют набор эксплоитов RIG и популярную платформу Google Drive для распространения вымогательского ПО CryptoWall 3.0.

Как пояснила специалист Heimdal Security Андра Захария (Andra Zaharia), на первой стадии злоумышленники используют Google Drive для загрузки функциональной части вируса, которая, свою очередь, загружает CryptoWall 3.0 с различных скомпрометированных web-страниц и координирует его работу. Эти страницы содержат несколько вредоносных скриптов, которые «заставляют» пользователя сузить выбор доменов (более 80 активных доменов), используемых набором эксплоитов RIG.

RIG эксплуатирует уязвимости в JavaJRE, Adobe Reader, Internet Explorer и Flash Player. По данным Heimdal, в 2014 году данный набор эксплоитов являлся наиболее популярным среди злоумышленников, во многом из-за своей дешевизны. К примеру, недельная арендная стоимость RIG составляет только $150, тогда как аналогичный период использования Neutrino обойдется в $750.

Если на системе жертвы не установлены обновления вышеуказанных программ, RIG сбрасывает файл, который связывается с серией предустановленных адресов (URL) Google Drive и подключается к скомпрометированным web-страницам с которых и загружается CryptoWall 3.0. Проникнув в систему, вредонос шифрует файлы, размещенные на локальном жестком диске и доступные сетевые драйверы при помощи 2048-битного ключа шифрования.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.