Кампания с изменением рекламы обеспечивает цифровую подпись CryptoWall ransomware

Киберпреступники за криминализацией CryptoWall угроза усилили их игру и подписывают новые образцы перед тем, как использовать их в атаках, в попытке обойти обнаружение антивируса.

Исследователи из сетевой безопасности Barracuda Networks обнаружили новые образцы CryptoWall, которые были цифровой подписью с законным сертификатом. Образцы были распределены с помощью загрузочных атак, запущенных с популярных веб-сайтов с помощью злонамеренных рекламных объявлений.

Несколько сайтов в списке из 15 000 лучших Alexa были затронуты этой последней злокачественной рекламной кампанией, связанной с malvertising, включая hindustantimes.com, сайт индийской ежедневной газета Hindustan Times; Израильский спортивный новостной сайт one.co.il; и веб-сообщество разработчиков codingforums.com.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

«В каждом случае вредоносный контент поступает через использование сайта в рекламной сети Zedo», - сказали исследователи Barracuda в воскресенье в блоге.

Zedo вместе с рекламной сетью DoubleClick Google также использовались злоумышленниками в этом месяце для публикации вредоносных рекламных объявлений на сайтах Times of Israel, Jerusalem Post и Last.fm среди других. Эта атаковая кампания распространяла вредоносную программу под названием Zemot.

В злоумышленной атаке посетители браузеров перенаправляются объявлениями-изгоями на сторонние страницы, которые используют эксплойты для уязвимостей в устаревших плагинах браузера, таких как Java, Flash Player, Adobe Reader или Silverlight.

«После успешного компрометации в систему жертвы установлен экземпляр CryptoWall ransomware», - сказали исследователи Barracuda в своем анализе новой атаки. «Частный экземпляр, выпущенный через сегодняшнюю кампанию, имеет действительную цифровую подпись и, по-видимому, был подписан за несколько часов до его распространения».

CryptoWall - особенно неприятная программа выкупа. После установки в систему он шифрует файлы, которые соответствуют длинному списку расширений файлов, используя сильную криптографию с открытым ключом. Затем он просит жертв выплатить выкуп в Биткойне, чтобы получить ключ, необходимый для восстановления своих файлов.

В настоящее время нет полностью надежного метода восстановления файлов с зашифрованным CryptoWall, кроме оплаты выкупа или восстановления их из резервных копий, t были повреждены во время инфекции. Исследователи безопасности советуют не платить за выкуп, потому что это способствует дальнейшему мошенничеству, и нет никакой гарантии получить ключ при работе с киберпреступниками.

Недавний анализ работы CryptoWall от Dell SecureWorks показал, что вредоносное ПО заражало более 600 000 компьютерных систем с марта и заработал своих создателей более чем на 1 миллион долларов США.

Цифровое подписание образцов CryptoWall, вероятно, является попыткой обойти антивирусное обнаружение. Успех такого подхода является спорным, поскольку эта практика больше не является редкой среди разработчиков вредоносных программ, и многие ее продукты поддерживают ее. Тем не менее, могут быть случаи, когда подписание вредоносного ПО с сертификатами, украденными у доверенных разработчиков, может обойти некоторые правила для белых списков.

Новые образцы CryptoWall не были обнаружены ни одним из 55 антивирусных продуктов, используемых на веб-сайте VirusTotal, когда они были обнаружены в воскресенье, исследователи Barracuda. С тех пор скорость обнаружения несколько увеличилась.

Чтобы защитить себя от злоупотреблений и опрокидывания при загрузке, пользователям в целом необходимо постоянно обновлять программное обеспечение на своих компьютерах, особенно веб-браузеры и их плагины -ins. Кроме того, они должны включить воспроизведение по клику для контента с подключаемым модулем, если эта функция доступна в предпочтительном браузере.

Коррекция (10/3): из-за неправильной информации от источника первое предложение второго абзаца из истории, «Кампания по рекламе» предлагает цифровую подпись CryptoWall ransomware », неправильно указал источник цифрового сертификата.