Специалисты Heimdal Security выявили вирус—вымогатель, который работает по нестандартной схеме. Распространяется приложение через плохо защищенные интернет—ресурсы и атакует пользователей ОС Windows. Для атак используется эксплойт—кит Angler. Однако перед шифрованием личных файлов пользователя для получения выкупа, злоумышленники крадут информацию об учетных записях пользователя.
В Heimdal Security сообщили, что атака происходит в несколько этапов. В первую очередь на устройство загружается вирус Pony, который собирает всю информацию о паролях и логинах для отправки на управляющий сервер.
Специалисты объяснили это тем, что хакером для распространения вредоносных модулей необходимо значительное число скомпрометированных веб—сайтов. Основная схема распространения вредоносного кода – внедрение специальных скриптов в страницы взломанного сайта. Активный сбор паролей позволяет заметно расширить масштабы вредоносной кампании.
После сбора данных жертва перенаправляется на вредоносный ресурс, где систему поражает эксплойт—кит Angler. Вредоносное приложение ищет известные уязвимости в стороннем ПО. Если это удается, на компьютер загружается CryptoWall 4.0, самый опасный на сегодня вирус—шифровальщик.
Эксперты сообщили, что в качестве отправной точки для атаки используется защищенный хостинг в Украине. Также инфицированы более 100 интернет—страниц в Дании. Heimdal Security заблокировала уже сотни доменов, которые использовались для массового распространения Pony и CryptoWall 4.0 через Angler.
Жертвой Angler стал и официальный сайт крупного издания Reader’s Digest. Портал заражал посетителей вирусом CryptoWall3.0 несколько недель. Пока неясно, относится ли данный инцидент к вышеописанной вредоносной кампании. Ведь по информации Heimdal Security в данном случае злоумышленники использовали CryptoWall версии 4.0 и новейшую версию Angler.