В минувшем мае эксплойт-пак Angler засветился в схеме доставки блокера Cryptowall 3.0, и с тех пор этот вредоносный трафик растет, умножая число потенциальных жертв вымогательства.

Согласно наблюдениям Центра SANS по сетевым угрозам (ISC SANS), Cryptowall 3.0 распространяется не только посредством широко используемого набора эксплойтов, но также с помощью вредоносных спам-рассылок. Оба способа инфицирования во многом схожи, что наводит на мысль о единстве источника вредоносных атак.

Версия 3.0 — это новейшая итерация Cryptowall, известного также как Crowti. Данный зловред, как и другие криптоблокеры, шифрует файлы на зараженном компьютере и требует плату за ключ к шифру. Сумма этого выкупа обычно составляет $500 в Bitcoin-эквиваленте. Для связи с C&C-сервером вымогатель обычно использует анонимные сети — Tor, I2P. В минувшем феврале исследователи из Cisco обнаружили «похудевшую» версию Cryptowall 3.0, лишенную встроенных в дроппер эксплойтов. По всей видимости, его операторы сочли эксплойт-паки более эффективным или экономически выгодным вектором.

По свидетельству Брэда Дункана (Brad Duncan), исследователя из Rackspace и постоянного репортера ISC SANS, анализ свежего трафика Angler выявил смену Bitcoin-адреса операторами криптоблокера. «Я пока не могу со 100-процентной уверенностью утверждать, что за новым Cryptowall 3.0 стоит то же лицо, что и прежде, — пишет Дункан на сайте ISC SANS. — Однако интуиция подсказывает, что в этой активности повинны тот же злоумышленник или та же криминальная группа. Уж очень все совпало по времени».

В ответном письме Threatpost Дункан заявил, что проверка двух Bitcoin-адресов по blockchain.info выявила ряд транзакций, то есть некоторые жертвы Cryptowall 3.0 все-таки платят выкуп.

«Наши наблюдения показывают значительный рост количества сэмплов Cryptowall 3.0  в спам- и эксплойт-трафике в сравнении с прежними показателями; таким образом, интенсификация его раздачи помогает злоумышленникам расширить круг потенциальных жертв заражения», — отметил исследователь, добавив, что ему пока неизвестно, удается ли плательщикам получить ключи и расшифровать свои файлы.

По словам Дункана, новейший всплеск связанной с Cryptowall 3.0 активности он наблюдает с 25 мая, причем раздача осуществляется как через спам, так и с помощью Angler. По состоянию на конец прошлой недели обе вредоносные кампании все еще актуальны.

В спаме Cryptowall 3.0 распространяется в виде вложений в письма, отосланные с почтовых адресов Yahoo. Прикрепленный архив my_resume.zip содержит HTML-файл с именем my_resume.svg. Дункан также отметил, что атакующие начали добавлять цифры к имени вредоносного файла, например resume4210.html или resume9647.html.

«Если открыть вложение и извлечь вредоносный файл, вы получите HTML-документ, — поясняет эксперт. — При открытии одного из этих HTML-файлов браузер начнет генерировать трафик, направляя его к скомпрометированному серверу. В ответ он получит сжатый gzip, неразличимый в TCP-потоке Wireshark. Экспорт текста из Wireshark явит HTML, который указывает на документ коллективного пользования, размещенный на сервере Google».

Cryptowall раздается по разным URL в домене docs.google.com, их список опубликован в дневнике SANS. Здесь же приведен используемый в данной спам-кампании адрес Bitcoin — 16REtGSobiQZoprFnXZBR2mSWvRyUSJ3ag, он един для всех сэмплов зловреда, обнаруженных в рамках текущей спам-кампании.

Схема, использующая Angler, заработала с 26 мая, когда были зафиксированы первые заражения Cryptowall 3.0 с участием этого эксплойт-пака. На тот момент злоумышленники, по данным SANS, использовали Bitcoin-адрес 16Z6sidfLrfNoxJNu4qM5zhRttJEUD3XoB, а с конца прошлой недели к нему прибавился 12LE1yNak3ZuNTLa95KYR2CQSKb6rZnELb.

«Причин, по которым злоумышленники отказались от единого Bitcoin-адреса, может быть множество, — комментирует Дункан. — Возможно, им нужен резервный вариант на тот случай, если блюстители правопорядка заблокируют второй адрес. А может, они таким образом отслеживают заражения в разных регионах. Последнее, впрочем, кажется маловероятным, но это чисто интуитивное предположение, которое может быть ошибочным».

Согласно результатам анализа новейших веб-инъекций, данная Angler-кампания использует большое количество редиректоров — скомпрометированных WordPress-сайтов. «Как показывает статистика, в Интернете присутствует множество уязвимых сайтов, использующих устаревшие или непропатченные версии WordPress, — сокрушается Дункан. — Это неиссякаемый источник для инициаторов этой и других вредоносных кампаний, которые взламывают такие ресурсы и используют их для своих нужд».

Категории: Аналитика, Вредоносные программы, Главное, Спам