Исследователи Центра защиты от вредоносных программ Microsoft зафиксировали новую спам-кампанию с вложениями формата .lnk, в ходе которой распространяются вымогатель Locky и троянец для клик-фрода Kovter.

По данным Microsoft, файл .lnk поддерживает мощный скрипт, который содержит ссылки на различные домены, жестко запрограммированные в коде. С них скрипт пытается загрузить один из зловредов. Файл .lnk — это файл ярлыка, ведущего к исполняемому файлу. В данном случае в email-сообщении содержится .zip-архив, в котором хранится файл .lnk, а в нем, в свою очередь, скрыт многофункциональный скрипт PowerShell.

«В новый скрипт жестко запрограммированы не менее пяти различных доменов, откуда загружаются компоненты зловредов. Кроме Locky данный скрипт загружает Kovter», — гласит посвященная исследованию запись в блоге Microsoft.

В октябре Microsoft отметила, что киберпреступники начали использовать в спам-кампаниях файлы ярлыков (.lnk), содержащие команды PowerShell для загрузки и исполнения Locky вместо вредоносных вложений .wsf. Тогда Microsoft сочла это важной переменой, сигнализирующей о смене стратегии киберпреступников; до этого они полагались на загрузчик Nemucod.

В недавней кампании email-сообщения, в которых вложенный .zip-архив содержит файл .lnk, маскируются под уведомления Почтовой службы США. Открытие архива и исполнение файла ярлыка запускают скрипт PowerShell, рассказывают в Microsoft.

«Помимо жестко запрограммированных доменов скрипт содержит все параметры процесса загрузки. При каждой попытке скачивания скрипт проверяет, увенчалась ли попытка успехом, а также удостоверяется, что размер загруженного файла не меньше 10 Кбайт. Скрипт прекращает попытки загрузки, когда оба условия выполнены или когда попытки дважды скачать полезную нагрузку с каждого из пяти доменов не привели к результату», — пишут специалисты Microsoft.

Использование нескольких доменов — это техника обфускации, призванная обойти меры защиты, использующие фильтрацию ссылок, уточнили в Microsoft. Чтобы не попасть в черный список, скрипт не полагается только на одну ссылку — благодаря дополнительным доменам он увеличивает шансы на успех. «Все, что требуется этому скрипту для успешной загрузки зловреда, — это обойти блокировку хотя бы одной ссылки», — рассказали в Microsoft.

Кроме того, по данным Microsoft, киберпреступники «могут обновлять вредоносную нагрузку, на которую ведут ссылки, изменять ссылки в скрипте или совершать оба действия для предотвращения детектирования зловреда защитными технологиями».

С тех пор как Microsoft начала отслеживать спам-кампанию, эксперты замечали, что киберпреступники изменяют полезную нагрузку — иногда это происходит раз в день. «Во время тестирования полезная нагрузка была изменена: и Locky, и Kovter были обновлены до последней версии. По большому счету злоумышленники могут заменить Locky и Kovter на любые другие зловреды», — отметили специалисты.

Как считают в Microsoft, совместное распространение Locky и Kovter может указывать на то, что стоящие за атакой киберпреступники могут продавать или сдавать в аренду вредоносные сервера, взимая плату согласно количеству установок.

Исследователи не впервые сталкиваются с совместным распространением Locky и Kovter. В прошлом месяце эксперты PhishMe обнаружили спам-кампанию, в которой в похожий .zip-архив был внедрен обфусцированный файл JScript, загружающий Kovter и Locky со взломанных сайтов на CMS Joomla.

Чтобы избежать заражения, пользователи Windows 10 должны заблокировать PowerShell пятой версии, выбрав для скрипта «Ограниченный режим». Благодаря этому можно предотвратить исполнение неверифицированного кода — скриптинг .NET, вызов API-интерфейсов Win32 APIs через командлет Add-Type, а также взаимодействие с объектами COM.

Категории: Вредоносные программы, Спам