Шифровальщик CryptXXX теперь распространяется через email

Шифровальщик CryptXXX теперь распространяется через email

Шифровальщик CryptXXX теперь распространяется через email

Один из самых популярных нынче шифровальщиков CryptXXX теперь использует спам-письма для распространения, предупреждают исследователи Proofpoint.

Ранее этот вид вымогателя распространялся, используя только связки эксплоитов. Когда CryptXXX был впервые замечен, он загружался на компьютер пользователя с помощью связки эксплоитов Angler, но вскоре злоумышленники перешли на новый комплект – Neutrino, в то время как Angler исчез из поля зрения. Однако в период с апреля по июнь активность комплектов эксплоитов снизилась на 96% и злоумышленники переключились на другие векторы атак.

На прошлой неделе была замечена первая кампания по распространению CryptXXX через email. Согласно исследователям Proofpoint, письма содержат вложения в виде документов, содержащих вредоносные макросы. При открытии такого документа на компьютер пользователя загружался и устанавливался вымогатель CryptXXX.

По аналогии с другими спам-кампаниями, злоумышленники полагались на социальную инженерию, чтобы заставить пользователей включить макросы во вредоносном документе. В теме письма указывалось «Security Breach - Security Report #123456789», а вложенные документы имели имена «info12.doc» или «i_nf012.doc». Цифры в теме письма и имена вложений генерировались случайным образом.

Исследователи Proofpoint сообщают, что вредоносная кампания получилась некрупной – были отправлены всего несколько тысяч писем. По мнению исследователей, это могло бы быть просто испытанием нового механизма распространения, а это значит, что большие по масштабам кампании могут ждать еще впереди.

Специалисты по безопасности утверждают, что CryptXXX находится в активной разработке. По их мнению, разработка может быть разделена на две ветви, одна их которых уже достигла версии 5.001, а вторая еще не была проанализирована.

В последние месяцы шифровальщик получил несколько нововведений, одним из которых является возможность добавления разных расширений к зашифрованным файлам: .Crypz и .Cryp1. На данный момент, исследователи обнаружили, что пользователи, пострадавшие от этих версий могут получить ключи дешифрования для своих файлов бесплатно.

CryptXXX удалось быстро занять свое место из-за его эффективного механизма распространения. Для специалистов не стало неожиданностью, что злоумышленники пробуют новые векторы. Насколько удачны будут эти векторы нам лишь предстоит увидеть.

Telegram лишился коротких ссылок: домен t.me отключили по всему миру

Короткие ссылки Telegram формата t.me перестали открываться в браузерах по всему миру. На проблему 13 июля обратило внимание издание «Код Дурова». Сам мессенджер при этом работает штатно: десктопная версия и приложения на смартфонах доступны, а ссылки t.me продолжают открываться внутри Telegram.

Сломался именно внешний переход через браузер.

По предварительным данным, домен фактически исключили из системы DNS на уровне реестра доменной зоны .me. Эта зона относится к Черногории, а ее оператором выступает компания doMEn, выбранная местными властями.

Почему реестр отключил домен, пока неизвестно. Среди возможных причин называют юридический спор, проверку, требования государственных органов или нарушение правил доменной зоны. Официальных разъяснений на момент публикации нет.

При этом сам домен остается зарегистрированным за Telegram до 2035 года. То есть срок регистрации не истек и обычной забывчивостью администратора ситуацию не объяснить.

В итоге получился странный сбой: Telegram на месте, каналы и чаты работают, но привычная короткая ссылка из браузера ведет в никуда. Пока причина не названа, пользователям остается открывать ссылки через приложение или ждать, когда домен вернут в DNS.

RSS: Новости на портале Anti-Malware.ru