Cerber вновь атакует: ныне этот грозный криптоблокер раздается в рамках агрессивной спам-кампании Blank Slate, авторы которой предпочитают пользоваться легальными услугами хостинг-провайдеров для распространения вредоносных программ.

По свидетельству наблюдателей из ISC SANS, до недавних пор эти спам-рассылки использовались для раздачи вымогателей Sage 2.0 и Locky, однако в настоящее время основной полезной нагрузкой Blank Slate является Cerber.

По словам ИБ-исследователя Брэда Дункана (Brad Duncan), Blank Slate как обособленная кампания была идентифицирована в июле прошлого года. С тех пор было предпринято несколько попыток ее ликвидации, но Blank Slate успешно их пережила, так как ее авторы постоянно поднимают у хостинг-провайдеров новые серверы для размещения вредоносного ПО.

Свое имя (blank slate — «чистая доска») эта спам-кампания получила из-за отсутствия текста в строке Subject: и теле письма. Email-сообщения содержат лишь вложенный zip-файл, внутри которого находится такой же архив с JavaScript и вредоносным документом Word. По мнению Дункана, подобные письма-ловушки слишком очевидны, однако злоумышленники, по всей видимости, убеждены, что этого достаточно для эффективного обхода защитных решений.

Схема доставки зловреда в данном случае вполне обычна: если двойным щелчком открыть JavaScript-файл или активировать макрос в документе, на машину загрузится (с сервера) Cerber. За последний год этот вымогатель превратился в серьезную угрозу, постоянно совершенствуясь и опробуя новые трюки. Так, в начале текущей недели исследователи из Deep Instinct сообщили, что текущая модификация Cerber успешно избегает детектирования с помощью новой инфраструктуры, позволяющей использовать NSIS-инсталлятор (эту систему установки использует Windows).

Как обнаружили в ISC SANS, аппетиты хозяев Cerber выросли: если ранее они взимали за ключ расшифровки $500, то теперь требуют вдвое больше (1 биткойн).

Blank Slate отличает от прочих хорошо налаженная ротация услуг хостинг-провайдеров, помогающая продлить время жизни вредоносных серверов. В феврале исследователи из Palo Alto Networks выявили 500 доменов, связанных с этой спам-кампанией. «Эти вредоносные домены были быстро заблокированы, однако авторы Blank Slate немедленно зарегистрировали новые, обнаружив цикличность злоупотреблений легитимными услугами хостинг-провайдеров», — пишет Дункан.

Для Threatpost исследователь пояснил: «Заявку на создание аккаунта у хостинг-провайдера оформить легко. Злоумышленнику нужно лишь указать действительные email, номер телефона и номер кредитной карты. Это дает право на создание новых серверов; появляются жалобы, хостинг-провайдер отключает серверы, а злоумышленники создают новые».

Расходы на поддержание этого цикла незначительны. «Новый email-аккаунт можно создать бесплатно, — пишет Дункан. — Одноразовые телефоны стоят дешево, всего $20». Краденые номера кредитных карт можно купить на черном рынке за $5.

Palo Alto полагает, что в рассылке спама в рамках Blank Slate задействовано множество хостов, разбросанных по всему миру и, по всей видимости, объединенных в ботнет.

Тестирование JavaScript-файла обнаружило запрос HTTP GET на бинарник вымогателя. «Постинфекционный трафик оказался таким же, как и у других недавних образцов Cerber, — пишет Дункан в блоге ISC SANS. — Вначале наблюдался UDP-трафик на порту 6892 зараженного хоста. Затем последовал HTTP-трафик в домен, начинающийся с p27dokhpz2n7nvgr и оканчивающийся на .top. IP-адреса для UDP-трафика сменяются раз в одну-две недели (или больше). HTTP-домены, используемые после заражения, меняются чаще».

Инструкции по расшифровке, по словам исследователя, появляются на рабочем столе в виде трех разных файлов: текстового, графического и HTA. Во всех случаях имя файла начинается с _READ_THIS_FILE_.

«Домены и IP-адреса, ассоциированные с кампанией Blank Slate, постоянно меняются, — заключает Дункан свою запись в блоге Palo Alto. — Пока программы-вымогатели в ходу, вредоносные спам-рассылки будут ежедневным явлением, как целевые, так и широкомасштабные».

Категории: Аналитика, Вредоносные программы, Главное, Спам