Эксперты румынской ИБ-компании Bitdefender обнаружили новую спам-рассылку, нацеленную на распространение мощного блокера-шифровальщика Cryptowall. На сей раз вымогатели избрали не совсем обычный формат для вредоносного файла — .chm, чтобы свести к минимуму необходимое взаимодействие с потенциальной жертвой и повысить вероятность заражения.

Дело в том, что .chm (Compiled HTML Help), разработанный Microsoft формат файлов контекстной справки, позволяет автоматически запускать содержимое при открытии файла. Такие файлы обычно содержат набор html-документов, изображений, JavaScript, подвергнутых сжатию. Они могут также включать содержание с гиперссылками, индекс ключевых слов или базу для полнотекстового поиска по содержимому страниц.

«Эти файлы в высокой степени интерактивны и используют ряд технологий, включая JavaScript, который может перенаправить пользователя по внешней ссылке сразу после открытия .chm, — поясняет главный ИБ-стратег Bitdefender Каталин Косой (Catalin Cosoi). — Злоумышленники начали использовать chm-файлы для автоматического запуска вредоносного кода, который происходит при их открытии. В этом есть здравый смысл: чем меньше взаимодействия с пользователем, тем выше шанс заражения».

Вредоносные сообщения, обнаруженные Bitdefender, имитируют уведомление о входящем факсе, в поле «From:» заголовка подставлен тот же домен, в котором размещен компьютер потенциальной жертвы. По всей видимости, данная спам-рассылка ориентирована на корпоративных служащих, ведь для организаций потеря доступа к важным данным грозит нарушением рабочих процессов, и вероятность уплаты выкупа за расшифровку файлов в таких случаях весьма высока.

Исследователи наблюдают новую Cryptowall-кампанию с прошлого месяца; вредоносные письма замечены на территории разных стран, в том числе в Великобритании, США, Нидерландах, Дании, Швеции, Словакии и Австрии. Насколько удалось определить, вредоносный спам распространяется с серверов Вьетнама, Индии, Австралии, США, Румынии и Испании.

Категории: Вредоносные программы, Спам