Как сообщает исследователь Гэри Уорнер (Gary Warner), наблюдатель из университета Алабамы в Бирмингеме (UAB) зафиксировал вредоносную рассылку с ботнета Kelihos, который до сих пор специализировался исключительно на фармаспаме и продвижении безнадежных акций (по схеме pump & dump). На сей раз давно известный и почти исчезнувший с радаров ботнет-спамер помимо рекламы нелицензированных интернет-аптек распространял вымогателя WildFire Locker.

По свидетельству университетских исследователей, вредоносные письма оформлены на голландском языке и имитируют уведомление о недоставке груза. Получателю советуют оформить новую заявку в транспортный отдел, форму которой якобы можно скачать по указанной ссылке вместе с базовой информацией о порядке доставки.

Как оказалось, указанный ссылкой doc-файл содержит вредоносный макрокод, для активации которого пользователю предлагается (на английском и голландском языках) включить режим редактирования, а затем активировать внедренный контент. Как показал анализ VBA-зловреда, в его исходный код включен ряд произвольных имен (TonyMontanaZRanaJakmietana, KerryMcNot, LouiseBackdone), в том числе несколько способных заинтересовать поклонников творчества Толкина: Nazgul, MinasTirit, Gondor.

Этот загрузчик и доставляет жертве ничем не примечательного блокера WildFire. Последний шифрует файлы по AES-256 в режиме CBC и требует $299 за расшифровку, рекомендуя произвести оплату в течение недели: по истечении этого срока сумма увеличится более чем в три раза.

Сайт, созданный злоумышленниками для приема платежей, размещен в анонимной сети Tor. Для определения местоположения жертвы он использует специальный плагин.

Категории: Вредоносные программы, Спам