Image
8.10.2016 0 Comments

Nemucod: Pozor na e-maily. Aj jeden stačí, aby ste si stiahli odporný balíček malvérov

Známy downloader JS/TrojanDownloader.Nemucod v poslednom čase poriadne zlepšil svoje schopnosti a sťahuje naozaj odporný balíček malvéru.

Už od začiatku roka sa objavilo viacero vĺn, počas ktorých schránky používateľov po celom svete zaplavovali infikované e-maily. Práve v ich prílohe sa ukrýval zamaskovaný trójsky kôň Nemucod v podobe spustiteľného súboru.

Ak sa obeť nechala nalákať a prílohu si otvorila a spustila, do počítača si spolu s downloaderom najčastejšie vpustila aj niektorý zo zákerných ransomvérov ako Locky či TeslaCrypt. To však bolo ešte pred letom, a ako sa zdá, útočníci nezaháľali ani počas dovolenkovej sezóny.

Nemucod totiž uprostred leta naoko zmenil taktiku a začal sťahovať v prvom rade backdoor detegovaný ako Win32/Kovter. Práve tento trójsky kôň pritom dokáže na diaľku komunikovať s útočníkmi a kliká v mene používateľa na rôzne on-line reklamy.

Na tento účel má Kovter dokonca zabudovaný aj vlastný prehliadač, ktorý zvládne naraz otvoriť až 30 samostatných vlákien. Ich počet prispôsobuje aktivite používateľa a voľnej pamäti, aby zariadenie nespomaľoval a neupútal na seba pozornosť. Keď však počítač ostane nejaký čas nečinný, Kovter využije všetky dostupné zdroje.

Analytici si však všimli, že útočníci po pár dňoch zašli ešte ďalej a Nemucod začal servírovať celý balíček škodlivých kódov. Ku Kovteru pribudol Win32/Boaxxe, ktorý má podobné zameranie a snaží sa klikať na reklamy či zvyšovať návštevnosť stránok zvolených útočníkmi.

Pre obeť oveľa nepríjemnejšie však boli ďalšie tri súbory v balíčku. Tie mali jediný cieľ: zašifrovať obeti cenné dáta na počítači a pripraviť ju o peniaze. Išlo totiž o interpreter skriptovacieho jazyka PHP a jeho knižnice a ransomvér v tomto jazyku PHP/Filecoder.D.

V prípade, že bol útok úspešný, obeť prišla o súbory s približne 120 príponami – medzi nimi súbory MS Office, videá, obrázky a iné potenciálne hodnotné dáta. Kruh sa uzavrel, keď správu so žiadosťou o výkupné následne vygeneroval sám pôvodca infekcie – downloader Nemucod.

Práve tento malvér je výborná ukážka, ako aj v dnešnej dobe e-mail predstavuje pre útočníkov jednu z hlavných ciest, ako infikovať počítače svojich obetí. Ako sa teda môže bežný používateľ chrániť?

  • Ak mu to umožňuje jeho e-mailový klient, mal by si nastaviť blokovanie súborov s určitými príponami. Takéto obmedzenie odporúčame zaviesť najmä pre súbory .exe, .bat, .cmd, .scr a .js.
  • Takisto je dobré povoliť operačnému systému, aby zobrazoval všetky prípony. Infikované súbory ich často majú hneď niekoľko, čo umožňuje ich odhalenie (napríklad Faktura.pdf.exe, ktorú by bez zmeny nastavení systém zobrazil ako Faktura.pdf)
  • Ak z nejakého dôvodu dostávate spustiteľné súbory často a sú súčasťou vašej legitímnej pošty, potom odporúčame preskenovať akékoľvek podozrivé e-maily alebo ich prílohy spoľahlivým antivírusovým riešením.

Ondrej Kubovič, ESET


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Kr00k ohrozuje bezpečnosť viac ako miliardy zariadení. Zraniteľné sú aj veľké značky vrátane Apple iPhone

28.02.2020 12:05

ESET objavil doteraz neznámu zraniteľnosť Kr00k (CVE-2019-15126), ktorá sa nachádzala vo Wi-Fi čipoch používaných v mnohých mobilných či smart zariadeniach, ale aj vo Wi-Fi prístupových bodoch (WAP) a ...

Bezpečnosť

Pozvánka na konferenciu Security 2020 zameranú na bezpečnostné incidenty

28.02.2020 00:03

Skutočné bezpečnostné incidenty a Cloud Security. To sú dve hlavné témy, ktoré sa budú prelínať prezentáciami 28. ročníka medzinárodnej konferencie Security.  Najväčšia nezávislá česká a slovenská ud ...

Bezpečnosť 1

Splňte si sen a začnite inštalovať alarmy. Certifikované školenie v Košiciach!

28.02.2020 00:01

Špeciálny projekt Chceli by ste začať montovať alarmy od overeného českého výrobcu Jablotron? Uvažujete nad tým, že by ste sa tým začali živiť? Teraz máte unikátnu možnosť! Jablotron v Košiciach prip ...

Žiadne komentáre

Vyhľadávanie

Hackkosice_2020

Najnovšie videá