Спам-письма об обновлении до Windows 10 содержат CTB-Locker

CTB-LockerВсего неделю назад стало доступным обновление до Windows 10, а пользователи уже успели столкнуться с целым рядом проблем с безопасностью и конфиденциальностью. Самой опасной из них оказалась встроенная в систему функция Wi-Fi Sense, позволяющая людям из ваших списков контактов популярных онлайн-сервисов вроде Skype и Facebook получить доступ к вашей Wi-Fi-сети.

Теперь же до желающих обновиться до новой версии операционной системы добрались и злоумышленники. Зафиксирована спам-кампания, в рамках которой рассылаются письма об обновлении до Windows 10, якобы исходящие от Microsoft, которые заражают компьютеры жертв зловредами-блокерами.

В минувшую пятницу исследователи из Cisco TALOS обнаружили спам-письмо, выдаваемое за письмо с Microsoft[.]com., исходящее с почтового адреса в Таиланде и содержащее вложение в виде архива. На машины пользователей, скачавших и запустивших файлы, содержащиеся в архиве, попадает зловред CTB-Locker. CTB-Locker схож с другими блокерами-шифровальщиками — он распространяется через электронную почту, эксплойт-паки или скрытые загрузки, шифрует важные документы и требует плату в криптовалюте Bitcoin за расшифровку. В рамках этой кампании пользователю дают 96 часов на то, чтобы заплатить выкуп; подобная отсрочка короче по сравнению с другими кампаниями, в которых применялся CTB-Locker.

Название зловреда CTB, также известного как Critroni, означает Curve-Tor-Bitcoin. Он использует криптографические функции на основе эллиптических кривых для шифрования файлов, а анонимная сеть Tor используется для передачи C&C-трафика.

С учетом огромного желания потребителей получать новейшие технологии, предпринятая злоумышленниками спам-кампания может оказаться весьма прибыльной. Однако перед тем как получить бесплатное обновление до Windows 10, пользователям сначала нужно будет занять место в очереди. Получив одно из рассылаемых злоумышленниками спам-писем, пользователь может решить, что это официальное письмо от Microsoft об обновлении; по заявлениям представителей компании, легитимное обновление распространяется через загрузчик в ОС Windows, а не через электронную почту.

Следует отметить, что у спам-письма хватает недочетов, по которым можно определить, что оно является фальшивым.

«В письме присутствует ряд символов, которые некорректно обрабатываются, — пишут специалисты Cisco TALOS в блог-записи. — Скорее всего, это вызвано несоответствием наборов символов, используемых злоумышленниками, и их целевой аудиторией».

В письме присутствует и пара отличительных черт, призванных убедить пользователей в его легитимности: во-первых, это заявление об отказе, использующее ту же стилистику, что и Microsoft; во-вторых, оповещение, о том, что письмо было просканировано при помощи MailScanner и не содержит вредоносного ПО.

«Это сообщение содержит ссылку на легитимный фильтр электронной почты с открытым исходным кодом и может создать видимость, что письмо также является легитимным и не содержит вредоносного программного обеспечения», — говорится в бюллетене Cisco TALOS.

По заявлениям представителей Cisco TALOS, то, что CTB-Locker использует криптографию на эллиптических кривых, делает его гораздо эффективнее по сравнению с другими блокерами.

Анализ C&C-трафика показал, что для обмена информацией зловред использует вшитые в него IP-адреса и порты вроде 9001, 443, 1443 и 666. По данным экспертов Cisco, зловред также использует порт 21, который обычно зарезервирован для FTP-трафика.

«Мы также наблюдаем нехарактерный для блокеров объем передаваемых данных, — говорится в отчете. — Анализ сетевого трафика показал, что используется около сотни сетевых потоков на различные IP-адреса».

Отчет Cisco также содержит список индикаторов заражения и доменов, используемых злоумышленниками.

НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Войти с помощью:  
Имя
E-mail

 

Комментарии к записи Спам-письма об обновлении до Windows 10 содержат CTB-Locker