Image
8.10.2016 0 Comments

Nemucod: Pozor na e-maily. Aj jeden stačí, aby ste si stiahli odporný balíček malvérov

Známy downloader JS/TrojanDownloader.Nemucod v poslednom čase poriadne zlepšil svoje schopnosti a sťahuje naozaj odporný balíček malvéru.

Už od začiatku roka sa objavilo viacero vĺn, počas ktorých schránky používateľov po celom svete zaplavovali infikované e-maily. Práve v ich prílohe sa ukrýval zamaskovaný trójsky kôň Nemucod v podobe spustiteľného súboru.

Ak sa obeť nechala nalákať a prílohu si otvorila a spustila, do počítača si spolu s downloaderom najčastejšie vpustila aj niektorý zo zákerných ransomvérov ako Locky či TeslaCrypt. To však bolo ešte pred letom, a ako sa zdá, útočníci nezaháľali ani počas dovolenkovej sezóny.

Nemucod totiž uprostred leta naoko zmenil taktiku a začal sťahovať v prvom rade backdoor detegovaný ako Win32/Kovter. Práve tento trójsky kôň pritom dokáže na diaľku komunikovať s útočníkmi a kliká v mene používateľa na rôzne on-line reklamy.

Na tento účel má Kovter dokonca zabudovaný aj vlastný prehliadač, ktorý zvládne naraz otvoriť až 30 samostatných vlákien. Ich počet prispôsobuje aktivite používateľa a voľnej pamäti, aby zariadenie nespomaľoval a neupútal na seba pozornosť. Keď však počítač ostane nejaký čas nečinný, Kovter využije všetky dostupné zdroje.

Analytici si však všimli, že útočníci po pár dňoch zašli ešte ďalej a Nemucod začal servírovať celý balíček škodlivých kódov. Ku Kovteru pribudol Win32/Boaxxe, ktorý má podobné zameranie a snaží sa klikať na reklamy či zvyšovať návštevnosť stránok zvolených útočníkmi.

Pre obeť oveľa nepríjemnejšie však boli ďalšie tri súbory v balíčku. Tie mali jediný cieľ: zašifrovať obeti cenné dáta na počítači a pripraviť ju o peniaze. Išlo totiž o interpreter skriptovacieho jazyka PHP a jeho knižnice a ransomvér v tomto jazyku PHP/Filecoder.D.

V prípade, že bol útok úspešný, obeť prišla o súbory s približne 120 príponami – medzi nimi súbory MS Office, videá, obrázky a iné potenciálne hodnotné dáta. Kruh sa uzavrel, keď správu so žiadosťou o výkupné následne vygeneroval sám pôvodca infekcie – downloader Nemucod.

Práve tento malvér je výborná ukážka, ako aj v dnešnej dobe e-mail predstavuje pre útočníkov jednu z hlavných ciest, ako infikovať počítače svojich obetí. Ako sa teda môže bežný používateľ chrániť?

  • Ak mu to umožňuje jeho e-mailový klient, mal by si nastaviť blokovanie súborov s určitými príponami. Takéto obmedzenie odporúčame zaviesť najmä pre súbory .exe, .bat, .cmd, .scr a .js.
  • Takisto je dobré povoliť operačnému systému, aby zobrazoval všetky prípony. Infikované súbory ich často majú hneď niekoľko, čo umožňuje ich odhalenie (napríklad Faktura.pdf.exe, ktorú by bez zmeny nastavení systém zobrazil ako Faktura.pdf)
  • Ak z nejakého dôvodu dostávate spustiteľné súbory často a sú súčasťou vašej legitímnej pošty, potom odporúčame preskenovať akékoľvek podozrivé e-maily alebo ich prílohy spoľahlivým antivírusovým riešením.

Ondrej Kubovič, ESET


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť 2

Auto s vonkajším airbagom ochráni nielen cestujúcich, ale aj karosériu pred škrabancami

11.06.2019 00:15

Nemecký výrobca automobilových komponentov ZF Friedrichshafen AG vyvíja airbagy, ktoré by sa mohli nafúknuť tesne pred nárazom na vonkajšej strane vozidla. Nasadenie airbagu zachránilo už veľa ľudí pr ...

Bezpečnosť

Nový druh phishingu umožňuje hackerom obísť aj dvojfaktorové overovanie

06.06.2019 00:10

Dvojfaktorová autentifikácia, ktorá vyžaduje, aby ľudia zadali kód zaslaný na ich telefón alebo e-mail, má chrániť používateľské mená a heslá pred útokmi typu phishingu. Bezpečnostní experti však tera ...

Bezpečnosť

Projekt Kry-sa na ochranu pred hrozbami z internetu

04.06.2019 08:00

Rozvoj technológií so sebou prináša aj bezpečnostné riziká, na ktoré v súčasnosti často ani nevieme reagovať. IT Asociácia Slovenska s podporou vládnej kyberbezpečnostnej jednotky CSIRT.sk Úradu podpr ...

q

Žiadne komentáre

Vyhľadávanie

SWAN_062019

Najnovšie videá



PC forum button