Эксперт Брэд Дункан (Brad Duncan) сообщил о новых атаках вымогателя Shade, также известного как Troldesh. Известный своей многофункциональностью зловред теперь не только шифрует файлы своих жертв, но и использует их компьютер для мошенничества с рекламными баннерами.

Впервые ИБ-эксперты заговорили о Shade в 2015 году. Вымогатель распространяется под видом документов Word, в которые встроен вредоносный Javascript-код. Жертвы получают троян со спамом или скачивают его с опасных сайтов.

Основную часть его жертв составляют жители России, на втором месте — Украина. Чуть позже Shade атаковал жителей Австралии — в этом регионе он получил известность под названием Troldesh.

Специалисты «Лаборатории Касперского» подчеркивали, что опасность зловреда значительно возрастает за счет его способности скачивать и распаковывать сторонние программы. Как правило, эту нагрузку составляло ПО для кражи личных данных, например трояны ZeuS или Pony.

Нынешние атаки построены по этому же принципу. Как рассказал в своем отчете Дункан, угрозу удалось обнаружить по нескольким упоминаниям зловреда в Twitter. Когда эксперт решил проверить, встречаются ли в Сети связанные с Shade/Troldesh ссылки, он выяснил, что за последний месяц накопилось несколько десятков таких URL.

В текущей кампании преступники рассылают спам на русском языке. Организаторы маскируют письма под коммерческие заказы и банковские запросы, прикладывая вредонос в zip-архиве.

Заражение происходит, если пользователь распаковывает вложение и запускает содержащийся там Javascript-файл. Вскоре после этого на рабочем столе появляется требование о выкупе на русском и английском языках.

Вредонос не ограничивается шантажом — по словам эксперта, пораженная машина также начинает накручивать клики для недобросовестных рекламных площадок. Такой вывод Дункан сделал по сетевым данным, за которыми он пронаблюдал после заражения.

Сначала троян создает  Tor-трафик — очевидно, так организована коммуникация с командным сервером. Далее Shade уточняет IP-адрес компьютера и начинает отправлять пакеты зашифрованных данных на SMTP-сервер mail.ru. После четырех циклов проверки IP и SMTP-коммуникаций зловред начинает генерировать простой веб-трафик, обращаясь к множеству сайтов в доменных зонах европейских государств и *.com. По словам эксперта, именно такое поведение характерно для мошенничества с рекламными ссылками.

Некоторые из сайтов, на которые отправляет запросы Shade

Ранее эксперты определили, что спам остается наиболее популярным вектором кибератак. При этом в I-м полугодии 2018-го года количество пользователей, поддавшихся на уловки спамеров, даже чуть выросло по сравнению с тем же периодом 2017-го.

Категории: Аналитика, Вредоносные программы, Спам