В мире криптоблокеров все быстро меняется, и сегодняшний фаворит уже завтра может сойти с дистанции.

Ярким примером в этом плане является Locky. Не так давно этот вымогатель агрессивно раздавался на машины пользователей и был способен остановить работу крупнейших клиник, лишив персонал доступа к историям болезней, а пациентов — медицинской помощи. Пик активности Locky пришелся на февраль и март, однако к концу апреля этот зловред оказался на обочине, уступив первенство другому могучему блокеру, CryptXXX.

В конце апреля исследователи из Palo Alto Networks обнародовали информацию о новейших киберкампаниях, нацеленных на распространение CryptXXX посредством эксплойт-пака Angler. Их инициатором, по данным экспертов, является та же группа, которая двумя неделями ранее раздавала Locky через другой эксплойт-пак, Nuclear.

По свидетельству исследователя Брэда Дункана (Brad Duncan), CryptXXX-кампания, которую в Palo Alto нарекли Afraidgate, ибо шлюзы злоумышленников размещены в домене afraid[.]org, — уже вторая по счету, причем вместе с блокером жертвам доставляется псевдо-Darkleech. В качестве посредников в обеих кампаниях используются Angler, атакующий уязвимости в браузерах, и даунлоудер Bedep, загружающий и вымогателя, и кликера.

Использование Angler, по словам Дункана, способно обеспечить CryptXXX более широкое распространение, так как этот эксплойт-пак обновляется быстрее своих конкурентов. Примечательно также включение в эту схему Bedep, бесфайлового загрузчика, не оставляющего следов на жестком диске. «Недавнее обновление Bedep усложнило анализ этого зловреда с помощью виртуальной машины, — пишет Дункан в блоге Palo Alto. — Поведение Bedep изменяется, когда он обнаруживает VM. Он воздерживается от загрузки CryptXXX, и click-fraud-трафик, наблюдаемый после заражения, отличен от того, который обычно исходит с нормального физического хоста».

Напомним, в конце апреля «Лаборатория Касперского» опубликовала декриптор для бесплатной расшифровки файлов, полоненных CryptXXX.

Угроза псевдо-Darkleech была подробно рассмотрена в блоге Sucuri в марте 2015 года; этот зловред внедряется не только на WordPress-сайты, но также на серверы Microsoft IIS. Атаки с его использованием очень быстро эволюционировали, и в конце прошлого года такие заражения осуществлялись с участием Angler.

Locky тем временем не совсем исчез, он все еще раздается через документы Word с вредоносным макросом. Спам-письма, распространяемые злоумышленниками, обычно имитируют извещение о неоплаченном счете или об отправке груза.

Категории: Аналитика, Вредоносные программы, Главное