С начала мая FireEye наблюдает резкий рост числа спам-рассылок, нацеленных на распространение вымогателя Cerber. По свидетельству исследователей, атакующие используют ту же инфраструктуру, которая ранее обеспечила печальную известность банкеру Dridex.

Криптоблокер Cerber, обнаруженный в минувшем феврале, примечателен тем, что умеет излагать жертве свои требования вслух. Были зафиксированы случаи, когда для его доставки использовался эксплойт нулевого дня к уязвимости CVE-2016-1019 в Adobe Flash Player в составе наборов Magnitude и Nuclear, однако ныне, по данным FireEye, как минимум с 4 мая он раздается через спам, связанный с ботнетами Dridex.

«Вступив в партнерство с распространителем спама, уже доказавшим свою эффективность массовой доставкой Dridex, Cerber, надо ожидать, превратится в такую же серьезную email-угрозу, как Dridex и Locky», — предупреждают аналитики FireEye в блоге компании.

Троянец Dridex долгое время досаждал корпоративным и индивидуальным пользователям, воруя их идентификаторы к банковским счетам. Основным орудием его распространения являлись ботнеты, способные рассылать миллионы спам-писем в сутки.

Cerber, согласно FireEye, использует тот же спам-сценарий, что и Dridex: потенциальной жертве направляется письмо с вредоносным вложением, замаскированным под инвойс. Если получатель откроет это сообщение, его попросят включить макрос. При его активации на машину загружается VBScript с обфусцированным кодом, основным назначением которого является загрузка целевого зловреда. Такая схема заражения помогает злоумышленникам обойти политики email-шлюзов, предусматривающие блокировку скриптов, присланных напрямую вложением.

Анализ показал, что из техник самозащиты вредоносный VBScript использует мусорный код, затрудняющий реверс-инжиниринг, и отложенное исполнение.

До загрузки Cerber этот скрипт проверяет наличие интернет-подключения; при положительном результате он по HTTP запрашивает со своего сайта некий jpeg-файл. «В заголовках HTTP-запроса он устанавливает значение Range как bytes=11193-, сигнализируя серверу, что тот должен вернуть контент, лишь начиная со сдвига в 11193 байта этого файла», — поясняют исследователи. По их словам, такую же технику скачивания финальной нагрузки, включая проверку, использовали Ursnif, он же Rovnix, и Dridex.

С последним Cerber роднит использование лишь английского языка в спам-рассылках, а также имитация легитимной переписки: письма в основном сообщают о неоплаченном счете, получении оплаты и т.п.

Проанализированный в FireEye образец особо интересовали документы Word, а также файлы, имеющие отношение к Microsoft Outlook и игровому сайту Steam. Чтобы добраться до целевых файлов, открытых на машине, зловред завершал все связанные с этими программами процессы. Примечательно, что конфигурационный файл Cerber обнаружил возможность добавления модуля для рассылки спама, хотя эта функциональность, судя по всему, пока находится на стадии тестирования.

Категории: Аналитика, Вредоносные программы, Спам