Шифровальщик CryptXXX теперь распространяется через email

Один из самых популярных нынче шифровальщиков CryptXXX теперь использует спам-письма для распространения, предупреждают исследователи Proofpoint.

Ранее этот вид вымогателя распространялся, используя только связки эксплоитов. Когда CryptXXX был впервые замечен, он загружался на компьютер пользователя с помощью связки эксплоитов Angler, но вскоре злоумышленники перешли на новый комплект – Neutrino, в то время как Angler исчез из поля зрения. Однако в период с апреля по июнь активность комплектов эксплоитов снизилась на 96% и злоумышленники переключились на другие векторы атак.

На прошлой неделе была замечена первая кампания по распространению CryptXXX через email. Согласно исследователям Proofpoint, письма содержат вложения в виде документов, содержащих вредоносные макросы. При открытии такого документа на компьютер пользователя загружался и устанавливался вымогатель CryptXXX.

По аналогии с другими спам-кампаниями, злоумышленники полагались на социальную инженерию, чтобы заставить пользователей включить макросы во вредоносном документе. В теме письма указывалось «Security Breach - Security Report #123456789», а вложенные документы имели имена «info12.doc» или «i_nf012.doc». Цифры в теме письма и имена вложений генерировались случайным образом.

Исследователи Proofpoint сообщают, что вредоносная кампания получилась некрупной – были отправлены всего несколько тысяч писем. По мнению исследователей, это могло бы быть просто испытанием нового механизма распространения, а это значит, что большие по масштабам кампании могут ждать еще впереди.

Специалисты по безопасности утверждают, что CryptXXX находится в активной разработке. По их мнению, разработка может быть разделена на две ветви, одна их которых уже достигла версии 5.001, а вторая еще не была проанализирована.

В последние месяцы шифровальщик получил несколько нововведений, одним из которых является возможность добавления разных расширений к зашифрованным файлам: .Crypz и .Cryp1. На данный момент, исследователи обнаружили, что пользователи, пострадавшие от этих версий могут получить ключи дешифрования для своих файлов бесплатно.

CryptXXX удалось быстро занять свое место из-за его эффективного механизма распространения. Для специалистов не стало неожиданностью, что злоумышленники пробуют новые векторы. Насколько удачны будут эти векторы нам лишь предстоит увидеть.