Menu

Обережно: підроблене оновлення Adobe Flash займається здирництвом та кликфродом

Корпорація Symantec повідомила про виявлення нової шкідливої кампанії, що використовує для обману користувачів фішингові сайти оновлення Adobe Flash. Їх комп'ютери заражаються шкідливою програмою-вимагачем і програмою-автокликом, яка ходить по рекламних посиланнях від імені користувача.

Широке поширення серед користувачів і досить часта необхідність оновлення Adobe Flash зробило цей продукт об'єктом підвищеної уваги кіберзлочинців. Застосовуючи методи соціальної інженерії, зловмисники заманюють користувачів на підроблені сторінки оновлення Adobe Flash, з яких замість чергового оновлення ні про що не здогадуючись, користувач встановлює на свій комп'ютер шкідливу програму.

В якості одного з яскравих прикладів фахівці компанії Symantec вказують сайт, який видає себе за сторінку оновлення Adobe Flash Player: http://16.a[REMOVED]rks.com/adobe/.

Осторожно: поддельное обновление Adobe Flash занимается вымогательством и кликфродом
Підроблена сторінка оновлення Adobe Flash Зловмисникові вдалося створити досить правдоподібну копію офіційного сайту, проте все ж було допущено низку недоліків: більша частина посилань веде назад на атакуючий домен, і абсолютно всі посилання на сторінці - крім посилання на саме шкідливий вміст - до кореня сайту, що призводить до помилки 404 (сторінка не знайдена).

Основна мета зловмисника - домогтися встановлення шкідливої програми, і для збільшення шансів він пропонує на вибір користувачу два варіанти. Перший варіант являє собою спливаюче вікно, що пропонує користувачеві завантажити файл під назвою “flash_player_updater.exe”. Друга опція - кнопка “Download Now”, після натискання на яку починає скачуватися файл “update_flash_player.exe”. Продукти компанії Symantec ідентифікують обидва файлу як Downloader.Ponik.

В ході дослідження з'ясувалося, що крім крадіжки паролів ці шкідливі програми вишукують в системі облікові записи віддаленого доступу по FTP/telnet/SSH, а також відстежують облікові записи пошти за протоколами SMTP, IMAP або POP3.

І, незважаючи на те, що обидві ці програми належать до одного типу, вони ведуть себе по-різному: у першому випадку встановлюється програма-здирник (ransomware), а в другому - робот, кликающий по рекламних посиланнях. І те й інше - незаконні способи отримання прибутку.

Варіант 1

Файл “flash_player_updater.exe” звертається через порт 8080 за адресою http://lum[REMOVED]th.com/forum/viewtopic.php, звідки отримує команду на скачування файлу за посиланнями:

  • http://ocean[REMOVED]ba.co.za/;
  • http://sys[REMOVED]55.info/;
  • http://topaz[REMOVED]al.net/.

Всі три файлу ідентичні. Використовуючи декілька джерел, зловмисник лише підвищує їх доступність. Фахівці компанії Symantec визначають ці файли як Trojan.Ransomlock.Q.

Як тільки запускається один з цих файлів, на зараженому комп'ютері з'являється оновлена версія програми-здирника Trojan.Ransomlock.Q, після чого остання підключається до свого сервера управління, завантажує зашифрований файл і потім блокує комп'ютер.

Цікаво, що троянська програма також визначає виробника встановленого антивіруса і підставляє його логотип замість стандартного логотипу Windows. В даному випадку дослідники Symantec відключили антивірус Norton 360, так як він вже забезпечує захист від цієї загрози, і отримали наступне пропозицію про оплату:

Осторожно: поддельное обновление Adobe Flash занимается вымогательством и кликфродом
Програма-здирник замінила логотип Windows логотип Norton 360 MoneyPak використовує 14-значний формат вводу. В якості експерименту фахівці ввели довільний 14-значний код і отримали повідомлення з текстом «Ваш код обробляється. Повторне введення не прискорить процесу. Обробка може зайняти до 12 годин, не вимикайте комп'ютер».

Осторожно: поддельное обновление Adobe Flash занимается вымогательством и кликфродом
Повідомлення з обіцянкою розблокувати систему Введена інформація шифрується і відправляється на сервер управління зловмисників.

Варіант 2

Файл “update_flash_player.exe” також через порт 8080 звертається за адресою http://lum[REMOVED]th.com/forum/viewtopic.php, звідки отримує команду на скачування файлів за наступними посиланнями:

  • twinp[REMOVED] ng.com/;
  • labos[REMOVED]ra.eu/;
  • ftp.calm[REMOVED]ge.com/.

Ці файли встановлюються на заражений комп'ютер і працюють у фоновому режимі, потай від користувача напрацьовуючи кліки по рекламі. Антивірусні продукти компанії Symantec забезпечують захист від цієї загрози, ідентифікуючи її як Trojan Horse.

Щоб не стати жертвою подібного роду атак, експерти Symantec рекомендують використовувати актуальні версії антивірусного та іншого пз для забезпечення безпеки. Не завантажуйте оновлення від сторонніх сайтів і завжди звертайте увагу на URL-адреса перед тим, як почати завантаження файлу.

|