С прошлой недели Cisco наблюдает кампанию, нацеленную на засев нового варианта Cerber с помощью службы перенаправления Google и прокси-сервисов Tor2Web. По данным исследовательского подразделения Talos, распространители этого криптоблокера обычно полагаются на рассылку безупречно оформленных спам-писем с вредоносным вложением.

«Эта кампания отличается тем, что письма не содержат вложение, невелики по размеру и предельно лаконичны», — пишут исследователи в блоге. Согласно Talos, новая спам-кампания в пользу Cerber в чем-то схожа с усилиями распространителей Locky, которые предпочитают использовать скриптовые файлы для доставки этого вымогателя.

Текущую Cerber-кампанию Talos характеризует как «потенциально новый виток эволюции методов распространения вымогательского ПО», активно использующий Tor и Дарквеб для сокрытия факта атаки и предотвращения ответных действий.

Как обнаружили в Cisco, распространители Cerber 5.0.1 отказались от вложений и используют URL-спам. Вредоносное письмо-ловушка предлагает получателю пройти по ссылке, чтобы загрузить файл, якобы содержащий интересную для него информацию: забавное фото, детализацию заказа или транзакции, подтверждение готовности предоставить кредит.

«Клик по гиперссылке отправляет жертву на редирект Google, перенаправляющий (браузер) на вредоносный документ Word, размещенный в Дарквебе, — поясняет Ник Бьязини (Nick Biasini) из Cisco Talos. — Поскольку для входа в Дарквеб нужен браузер Tor, авторы атаки привязали редиректы Google к прокси-сервису Tor2Web».

Использование Tor2Web позволяет атакующим размещать свои файлы в Дарквебе, где их трудно отыскать и заблокировать. Как отметили исследователи, «использование прокси-сервисов вроде Tor2Web обеспечивает доступ к сети Tor, не требуя локальной установки Tor-клиента в систему жертвы».

«Использование Tor мы неоднократно наблюдали у вымогательского ПО, — комментирует Бьязини. — Однако эта сеть обычно используется для C&C-коммуникаций и получения предупреждений для жертв с требованием выкупа и инструкцией по использованию кошельков Bitcoin. Новейший вариант Cerber (5.0.1) интересен для исследователей тем, что вся связанная с ним вредоносная активность размещена в Tor».

Появление Cerber 5.0.1 не упраздняет его предыдущие воплощения и техники. По свидетельству Бьязини, основная масса представителей этого семейства распространяется традиционными методами: через эксплойт-пак RIG и вложения в спам. «Эта кампания важна тем, что сигнализирует противникам Cerber о новом этапе его эволюции», — говорит Бьязини.

Шифровальщик Cerber знаменит прежде всего тем, что умеет излагать свои требования вслух. В дикой природе он был впервые обнаружен в феврале и на тот момент зачастую распространялся с помощью эксплойт-пака Magnitude или Nuclear. В мае наблюдатели из FireEye зафиксировали резкий рост потока Cerber-спама с ботнетов, ранее использовавшихся для раздачи банкера Dridex. В августе появилась версия Cerber, распространяемая по франшизе. «В последние несколько месяцев Cerber продолжает менять тактику и быстро эволюционирует», — констатировал Бьязини.

По свидетельству исследователей, в документ Word, используемый в текущей Cerber-кампании, внедрен вредоносный макрос. «Если жертва откроет вредоносный документ MS Word и включит макрос, даунлоудер с помощью командного процессора Windows вызовет Powershell, и тот затем загрузит (используя Tor2Web) и исполнит целевой PE32-файл Cerber», — гласит запись Talos.

Cerber 5.0.1 требует выкуп в размере 1,4 биткойна ($1 тыс.). Если жертва не проведет платеж в течение пяти дней, эта сумма удваивается.

«Новейшая вредоносная кампания показала, что угрозы на основе вымогательского ПО продолжают эволюционировать и набирать силу, — пишут исследователи. — Процесс заражения со временем усложняется, авторы атак опробуют новые методы, стремясь избежать обнаружения и затруднить анализ».

Чтобы уменьшить риски, Talos рекомендует блокировать весь трафик Tor2Web и Tor в корпоративной сети: «Организациям нужно решить, насколько необходимы для бизнеса Tor и Tor2Web и оправдывает ли их разрешение потенциальные риски для пользователей сети».

Категории: Аналитика, Вредоносные программы, Спам