Исследователь Барт Пэрис (Bart Parys) обнаружил новую киберкампанию, нацеленную на распространение даунлоудера Nemucod. Пользователи мессенджера Facebook получают изображения в формате SVG, содержащие JavaScript-редирект на поддельную страницу YouTube, где им предлагается установить некое расширение Chrome для просмотра контента.

На поверку оказалось, что вместо обещанного фото этот «плагин» доставляет полезную нагрузку. Образцы SVG-файлов, протестированные Петером Крусе (Peter Kruse) из датской ИБ-компании CSIS, загружали шифровальщика Locky, недавно получившего обновление. Однако Пэрис не смог подтвердить эту информацию. «Некоторые говорят, что целевая нагрузка — вымогатель Locky, однако мне пока не удалось получить такой результат, — заявил исследователь журналистам Threatpost. — В тех случаях, которые я расследовал, инсталлировались лишь расширения Chrome, но они, полагаю, служат платформой для загрузки дополнительных зловредов».

Threatpost направил Крусе запрос о комментарии, однако ответа пока не получил. Тем не менее в Twitter представитель CSIS отметил, что полезная нагрузка может быть различной и один из вариантов — Chrome-плагин, о котором говорит Пэрис. Шифровальщик Locky тоже грузится, и его уровень детектирования средствами VirusTotal невысок: его, по свидетельству Крусе, распознают лишь 11 из 55 антивирусов этой коллекции.

Представитель Facebook в ответ на запрос Threatpost заявил следующее: «У нас работают несколько автоматизированных систем, помогающих пресечь публикацию вредоносных ссылок и файлов на Facebook, и эти мы уже блокируем. Наше расследование показало, что в данном случае целью публикаций не является установка Locky, они скорее ассоциируются с расширениями Chrome. Мы уже сообщили о вредоносных расширениях браузера в надлежащие инстанции».

Как бы то ни было, важен прежде всего тот факт, что SVG-редиректам удается обходить защитные фильтры Facebook. Даунлоудер Nemucod и ранее активно использовался для доставки Locky, однако авторы этой схемы обычно использовали вложения ZIP со скрытым расширением .wsf.

«Думаю, им попросту еще не доводилось фильтровать такой тип файлов [SVG], — говорит Пэрис. — Истинное положение дел неизвестно, и сомнительно, что Facebook огласит такие тонкости (оно и к лучшему — зачем киберпреступникам знать, как работают эти фильтры)».

После установки вредоносного плагина жертва, по словам Пэриса, перенаправляется обратно на Facebook. «Не исключено, что он также крадет учетные данные Facebook (и с их помощью распространяется через сообщения друзьям жертвы)», — предполагает исследователь.

Авторы новой киберкампании сделали ставку на SVG-формат, так как он позволяет внедрять любые двумерные объекты, открываемые в браузере. Пэрис рекомендует пользователям не доверять файлам, содержащим лишь изображение. «Отчетов об этой кампании уже много, так что она вполне успешна, — говорит собеседник Threatpost. — Тем не менее используемый подход — это классика: приманка в виде фото (на котором, возможно, вы) срабатывает всегда. Любопытство до добра не доводит».

По свидетельству Пэриса, скрипт-редиректор хорошо обфусцирован и перенаправляет на поддельную страницу YouTube с диалоговым окном, предлагающим посетителю установить расширение браузера для просмотра.

bart-parys-phony-youtube-page

«Оно выглядит как даунлоудер, по крайней мере, способно многое изменять и делать в браузере, — комментирует Пэрис. — Как бы то ни было, JavaScript в изначальном файле сильно обфусцирован, как и все JS-скрипты в самом расширении Chrome».

О своей находке исследователь сообщил и в Facebook, и в Google. В качестве временной защиты он советует отключить JavaScript в браузере, активировать опцию click-to-play, заблокировать Wscript или внести изменения в опцию Open With для .svg, .js и .jse, чтобы такие файлы открывались лишь в Notepad. «Это поможет эффективно заблокировать исполнение вредоносного ПО, — поясняет исследователь. — Хотя Facebook тоже надлежит принять превентивные меры».

Категории: Аналитика, Вредоносные программы, Спам