На прошлой неделе на одном из веб-сайтов правительства США был обнаружен вредоносный JavaScript-загрузчик, приводящий к установке на компьютер жертвы программы-вымогателя Cerber.

Исследователь из NewSky Security Анкит Анубхав опубликовал эту находку в своем Твиттере в среду, и в течение нескольких часов ссылка на вредоносное ПО была убрана с правительственного сайта. На данный момент неизвестно, был ли кто-либо заражен через данный сайт.

Также неизвестно, как загрузчик попал на сайт в доменной зоне .gov. Анубхав предположил, что либо сайт был взломан, либо он хранит вложения из электронных писем правительственных чиновников, из одного из которых загрузчик попал в архив.

Мы сделали несколько попыток получить комментарий от Министерства внутренней безопасности США, но на момент нашей публикации эти запросы остались без ответа.

Cerber находится в обращении более года и, как большинство семейств вымогателей-шифровальщиков, распространяется с помощью набора эксплойтов, спам-кампаний и того же ботнета, что использовался для доставки банковского трояна Dridex. Ранее в этом году для распространения Cerber злоумышленники использовали критическую уязвимость в фреймворке Apache Struts на серверах Windows.

Анубхав и Мариано Паломо Вильяфранка, аналитик по вредоносным ПО из испанской телекоммуникационной компании Telefonica, опубликовали результаты совместного анализа атаки. Они отмечают, что большинство сайтов, входящих пв принадлежащий правительству США домен .gov обычно включаются репутационными сервисами в белые списки, и это делает их идеальным местом для размещения вредоносных программ.

Как предполагает Анубхав, использовался следующий механизм заражения: жертвам отправляли ​​ссылку на страницу, на которой размещается ZIP-файл. При нажатии на нее извлекался обфусцированный скрипт JavaScript, содержавший команду PowerShell, запускавшую загрузку .gif файла, который на самом деле представлял собой исполняемый файл Cerber.

“PowerShell загружает вредоносное ПО с известного неблагонадежного сайта и запускает его”, — говорит Анубхав. “Разумеется, все эти действия происходят в автоматическом режиме, конечный пользователь их не увидит”.

Анубхав и Вильяфранка отмечают, что исполняемый файл gif является установщиком NSIS, который извлекает конфигурационный файл Cerber в формате JSON. В марте исследователи обнаружили, что Cerber успешно избегает обнаружения, скрываясь перед выполнением внутри установщиков NSIS. Исследователи из Deep Insinct рассказали Threatpost, что данную тактику использовали версии Cerber 4 и 5.1, а также многие версии других шифровальщиков — Locky, Cryptolocker и Cryptowall.

NSIS (Nullsoft Scriptable Install System) представляет собой систему с открытым исходным кодом, которая используется для создания установщиков для Windows.

Cerber, как и другие вымогатели-шифровальщики, требует выкуп в Bitcoin в обмен на ключ, позволяющий расшифровать пострадавшие данные пользователей.

Категории: Вредоносные программы, Кибероборона, Уязвимости