Операторы шифровальщика Nemty создали для его распространения фальшивый сайт PayPal. По мнению ИБ-экспертов, злоумышленники экспериментируют с методами доставки зловреда, чтобы выбрать наиболее эффективный.
Специалисты обратили внимание на Nemty в середине августа, когда он атаковал компьютеры через незащищенные RDP-подключения. Позже эксперты обнаружили этот шифровальщик среди полезной нагрузки эксплойт-пака RIG. Вымогатель шифрует пользовательские файлы, удаляет теневые копии Windows и требует за возвращение данных 0,09981 BTC.
Фишинговая кампания Nemty:
Последняя находка ИБ-исследователей говорит о том, что операторы Nemty взяли на вооружение фишинговые приемы. Как рассказали специалисты, преступники раздают вымогатель под видом легитимного приложения с поддельной страницы PayPal, обещающей пользователям кешбек размером в 3–5%. Если жертва поддается на уловку и скачивает программу, через несколько минут ее файлы оказываются заблокированы.
Эксперты отмечают, что злоумышленники приложили немало усилий для создания правдоподобной подставной площадки. Благодаря использованию символов-омографов URL вредоносного сайта выглядит легитимным. Помимо посадочной страницы, где посетителям предлагается дистрибутив, мошенники подготовили несколько дополнительных разделов — «Помощь», «Расценки», «Безопасность».
Что нового в Nemty 1.4:
Аналитики обнаружили, что текущая версия зловреда получила порядковый номер 1.4. и обновления в коде за счет устранения мелких багов.
Ключевое изменение — проверка географического расположения зараженного компьютера. Эта функция присутствовала в коде Nemty с самого начала — зловред уточнял, не проживает ли его жертва в России, Беларуси, Казахстане, Таджикистане или Украине.
За этой проверкой не следовали какие-либо действия. Теперь же создатели шифровальщика добавили механизм, который останавливает работу зловреда, если целевая машина привязана к странам из этого списка.
Nemty уже добавили в базы большинства антивирусных программ. Ложная страница PayPal также обозначена в черных списках браузеров.
Исследователи отмечают, что вымогатель получил негативную оценку на подпольных форумах киберпреступников. Наибольшей популярностью у злоумышленников сейчас пользуется шифровальщик Sodinokibi, чьи операторы также применяют оригинальные методы доставки своего ПО.
Источник: https://threatpost.ru/nemty-ransomware-distributed-via-fake-paypal-website/34033/