Новости|4 Ноябрь 2013 16:15

Троян-вымогатель заражает через поиск Google

Антивирусная лаборатория ESET доложила об обнаружении нового способа распространения трояна Nymaim, способного блокировать пользовательский ПК с целью получения оплаты за разблокировку. Эта троянская программа привлекла внимание специалистов в конце позапрошлого месяца. Если раньше заражение Nymaim’ом выполнялось через известный комплект эксплойтов BlackHole, используемых для доставки инфицированного кода уязвимости имеющихся на компьютере программ или бреши самой операционной системы, то теперь злоумышленники запустили новую методику распространения вышеупомянутого трояна — файлы, загруженные через браузер. Сотрудники ESET выяснили, что ссылки, ведущие на скачивание файлов с вредоносным кодом, принадлежат поисковой системе Google. Это значит, что прежде чем компьютер был заражен, пользователь этого компьютера набирал в Поиске Google какой-то запрос и перешел по одной из ссылок в поисковой выдаче.

369238

Как гласят результаты исследования интернет-страниц, инициировавших загрузку инфицированных файлов, для масштабного заражения киберпреступники использовали приемы Black Hat SEO — темной поисковой оптимизации, продвигая в ТОП поисковой выдачи по популярным запросам специально созданные вредоносные веб-страницы. Щелкнув такую ссылку в выдаче, пользователь автоматически перенаправлялся на специальную страницу, запускающую загрузку одно и того же архива, имя которого, чтобы не вызывать подозрений, соответствовало тексту, введенному в поисковую строку. Внутри архива содержится исполняемый файл, устанавливающий после запуска код трояна Nymaim.

Заражение системы Nymaim’ом происходит в два этапа. Пробравшись на ПК, первый вредоносный файл активирует скрытый запуск второго файла, способного не только блокировать ОС для получения выкупа, но и загружать дополнительные вредоносы.

Примечательно, что в процессе исследования в ESET обнаружили свыше десятка версий экрана блокировки с разным оформлением и на разных языках. В результате под действие Nymaim попали пользователи чуть ли не со всего мира. Заражен может быть компьютер пользователя из любой страны. Что касается суммы, которую требует троян за разблокировку ПК, то в зависимости от регионов цена разнится. В основном стоимость выкупа составляет порядка $150. В то же время пользователям из Северной Америки предлагается заплатить $300.