Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Кампания, нацеленная на пользователей в Юго-Восточной Азии, ведется через рекламные баннеры и онлайн-игры.
Киберпреступники, стоящие за шифровальщиком Sodinokibi, используют эксплойт-пак RIG для доставки зловреда на целевые машины. Нападающие эксплуатируют баги в браузерах, чтобы скрытно установить полезную нагрузку и заблокировать файлы. ИБ-специалисты пока не нашли способа расшифровать данные, затронутые атакой вымогателя.
Первоначальное заражение происходит через рекламные баннеры в блогах и онлайн-играх. Объявление ведет жертву на криминальный ресурс, который скрытно пытается запустить на компьютере вредоносный скрипт из арсенала RIG.
Киберпреступники действуют через Flash-уязвимости в браузерах и в случае успешного взлома отправляют на устройство полезную нагрузку. Нападение не требует взаимодействия с пользователем — он может догадаться об атаке лишь по сообщениям с ошибками, которые выводит Internet Explorer.
На первом этапе на машину при помощи вредоносного JavaScript доставляется обфусцированный VBS-сценарий, исполняющий функции загрузчика и установщика для Sodinokibi. Вымогатель скрытно шифрует файлы, после чего устанавливает обои рабочего стола и создает текстовый документ с требованием выкупа. Зловред присваивает инфицированному устройству уникальный идентификатор и добавляет его в качестве расширения ко всем закодированным объектам.
О новом векторе атаки рассказал в Твиттере ИБ-специалист с псевдонимом mol69. По мнению эксперта, кампания нацелена на пользователей из Южной Кореи, Малайзии, Вьетнама и других стран Юго-Восточной Азии. Чуть позже аналитик сообщил, что нападения ведутся также через эксплойт-пак Fallout.
В сентябре этого года независимый исследователь под ником Security Aura выяснил, что для распространения Sodinokibi киберпреступники применяли оверлеи на страницах взломанных сайтов. По его словам, злоумышленники внедряли в код уязвимого WordPress-ресурса скрипт, который выводил поверх легитимной страницы фрейм с фальшивым интернет-форумом, где одно из сообщений содержало вредоносную ссылку. Для большей убедительности сообщения ветки подбирались с учетом тематики инфицированного сайта.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |