Image
8.10.2016 0 Comments

Nemucod: Pozor na e-maily. Aj jeden stačí, aby ste si stiahli odporný balíček malvérov

Známy downloader JS/TrojanDownloader.Nemucod v poslednom čase poriadne zlepšil svoje schopnosti a sťahuje naozaj odporný balíček malvéru.

Už od začiatku roka sa objavilo viacero vĺn, počas ktorých schránky používateľov po celom svete zaplavovali infikované e-maily. Práve v ich prílohe sa ukrýval zamaskovaný trójsky kôň Nemucod v podobe spustiteľného súboru.

Ak sa obeť nechala nalákať a prílohu si otvorila a spustila, do počítača si spolu s downloaderom najčastejšie vpustila aj niektorý zo zákerných ransomvérov ako Locky či TeslaCrypt. To však bolo ešte pred letom, a ako sa zdá, útočníci nezaháľali ani počas dovolenkovej sezóny.

Nemucod totiž uprostred leta naoko zmenil taktiku a začal sťahovať v prvom rade backdoor detegovaný ako Win32/Kovter. Práve tento trójsky kôň pritom dokáže na diaľku komunikovať s útočníkmi a kliká v mene používateľa na rôzne on-line reklamy.

Na tento účel má Kovter dokonca zabudovaný aj vlastný prehliadač, ktorý zvládne naraz otvoriť až 30 samostatných vlákien. Ich počet prispôsobuje aktivite používateľa a voľnej pamäti, aby zariadenie nespomaľoval a neupútal na seba pozornosť. Keď však počítač ostane nejaký čas nečinný, Kovter využije všetky dostupné zdroje.

Analytici si však všimli, že útočníci po pár dňoch zašli ešte ďalej a Nemucod začal servírovať celý balíček škodlivých kódov. Ku Kovteru pribudol Win32/Boaxxe, ktorý má podobné zameranie a snaží sa klikať na reklamy či zvyšovať návštevnosť stránok zvolených útočníkmi.

Pre obeť oveľa nepríjemnejšie však boli ďalšie tri súbory v balíčku. Tie mali jediný cieľ: zašifrovať obeti cenné dáta na počítači a pripraviť ju o peniaze. Išlo totiž o interpreter skriptovacieho jazyka PHP a jeho knižnice a ransomvér v tomto jazyku PHP/Filecoder.D.

V prípade, že bol útok úspešný, obeť prišla o súbory s približne 120 príponami – medzi nimi súbory MS Office, videá, obrázky a iné potenciálne hodnotné dáta. Kruh sa uzavrel, keď správu so žiadosťou o výkupné následne vygeneroval sám pôvodca infekcie – downloader Nemucod.

Práve tento malvér je výborná ukážka, ako aj v dnešnej dobe e-mail predstavuje pre útočníkov jednu z hlavných ciest, ako infikovať počítače svojich obetí. Ako sa teda môže bežný používateľ chrániť?

  • Ak mu to umožňuje jeho e-mailový klient, mal by si nastaviť blokovanie súborov s určitými príponami. Takéto obmedzenie odporúčame zaviesť najmä pre súbory .exe, .bat, .cmd, .scr a .js.
  • Takisto je dobré povoliť operačnému systému, aby zobrazoval všetky prípony. Infikované súbory ich často majú hneď niekoľko, čo umožňuje ich odhalenie (napríklad Faktura.pdf.exe, ktorú by bez zmeny nastavení systém zobrazil ako Faktura.pdf)
  • Ak z nejakého dôvodu dostávate spustiteľné súbory často a sú súčasťou vašej legitímnej pošty, potom odporúčame preskenovať akékoľvek podozrivé e-maily alebo ich prílohy spoľahlivým antivírusovým riešením.

Ondrej Kubovič, ESET


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť 1

Hackerská skupina Anonymous vyhlásila vojnu Donaldovi Trumpovi

20.01.2017 00:15

Skupina Anonymous vyzvala svojich priaznivcov na útok proti novo zvolenému americkému prezidentovi Donaldovi Trumpovi. Jeden z najobľúbenejších účtov spojených s hackerskou skupinou zverejnil na Twitt ...

Bezpečnosť

Čo nás čaká v bezpečnosti v roku 2017?

19.01.2017 00:15

Tak ako postupuje svet technológií míľovými krokmi dopredu, objavujú sa nové výzvy a problémy v oblasti bezpečnosti. Okrem novej legislatívy, ako je GDPR (General Data Protection Regulation, regulácia ...

Bezpečnosť

Návrat k faxom? Sedem hlavných bezpečnostných trendov na rok 2017

17.01.2017 00:10

Podľa spoločnosti GFI Software budú v oblasti podnikovej IT bezpečnosti v roku 2017 pokračovať trendy minulého roka, ktorý môžeme v mnohých ohľadoch považovať za prelomový. Prudký nárast ransomvéru, k ...

Žiadne komentáre

Vyhľadávanie

ShowIT

Najnovšie videá