Обнаружена кампания по распространению Cryptowall 4.0 с помощью Angler

На этой неделе эксперты ИБ-компании Heimdal Security обнаружили новую вредоносную кампанию по распространению трояна Cryptowall 4.0. Если ранее злоумышленники инфицировали системы шифровальщиком с помощью спам-писем, то теперь арсенал пополнился наборами эксплоитов. Вслед за Nuclear распространять Cryptowall 4.0 через скомпрометированные web-страницы начал еще один популярный набор эксплоитов – Angler.

Как сообщают исследователи, шифровальщик попадает на систему в два этапа. Сначала хакеры инфицируют систему вредоносным ПО Pony, похищающим и отправляющим на C&C-серверы учетные данные пользователей.

«Целью злоумышленников является получение доступа к серверам и системам управления контентом с помощью легитимных учетных данных и внедрения в сайты вредоносного скрипта. Таким образом кампания может затронуть максимальное количество пользователей», – сообщили эксперты.

С легитимного сайта жертва перенаправляется на скомпрометированный.Через браузер пользователя на уязвимую систему загружается набор эксплоитов. Далее Angler эксплуатирует обнаруженные уязвимости, инфицируя систему Cryptowall 4.0.

На этой неделе эксперты Heimdal Security заблокировали свыше двухсот связанных с трояном доменов. Хостинг большинства из этих доменов находится в Украине.

Cryptowall 4.0 – четвертое поколение самого опасного на сегодняшний день трояна-шифровальщика Cryptowall. Впервые был обнаружен в конце ноября 2015 года. Cryptowall 4.0 получил существенные улучшения по сравнению с предыдущими версиями.  

Angler – набор эксплоитов для осуществления атак «drive-by download», впервые обнаруженный в 2013 году. С тех пор инструмент завоевал огромную популярность у киберпреступников. Angler успешно обходит обнаружение продуктами безопасности и эксплуатирует уязвимости в ПО.

Pony – вредоносное ПО для похищения учетных данных свыше 110 приложений, в том числе VPN, FTP, электронной почты, мессенджеров и браузеров.