Один из самых популярных нынче шифровальщиков CryptXXX теперь использует спам-письма для распространения, предупреждают исследователи Proofpoint.
Ранее этот вид вымогателя распространялся, используя только связки эксплоитов. Когда CryptXXX был впервые замечен, он загружался на компьютер пользователя с помощью связки эксплоитов Angler, но вскоре злоумышленники перешли на новый комплект – Neutrino, в то время как Angler исчез из поля зрения. Однако в период с апреля по июнь активность комплектов эксплоитов снизилась на 96% и злоумышленники переключились на другие векторы атак.
На прошлой неделе была замечена первая кампания по распространению CryptXXX через email. Согласно исследователям Proofpoint, письма содержат вложения в виде документов, содержащих вредоносные макросы. При открытии такого документа на компьютер пользователя загружался и устанавливался вымогатель CryptXXX.
По аналогии с другими спам-кампаниями, злоумышленники полагались на социальную инженерию, чтобы заставить пользователей включить макросы во вредоносном документе. В теме письма указывалось «Security Breach - Security Report #123456789», а вложенные документы имели имена «info12.doc» или «i_nf012.doc». Цифры в теме письма и имена вложений генерировались случайным образом.
Исследователи сообщают, что вредоносная кампания получилась некрупной – были отправлены всего несколько тысяч писем. По мнению исследователей, это могло бы быть просто испытанием нового механизма распространения, а это значит, что большие по масштабам кампании могут ждать еще впереди.
Специалисты по безопасности утверждают, что CryptXXX находится в активной разработке. По их мнению, разработка может быть разделена на две ветви, одна их которых уже достигла версии 5.001, а вторая еще не была проанализирована.
В последние месяцы шифровальщик получил несколько нововведений, одним из которых является возможность добавления разных расширений к зашифрованным файлам: .Crypz и .Cryp1. На данный момент, исследователи обнаружили, что пользователи, пострадавшие от этих версий могут получить ключи дешифрования для своих файлов бесплатно.
CryptXXX удалось быстро занять свое место из-за его эффективного механизма распространения. Для специалистов не стало неожиданностью, что злоумышленники пробуют новые векторы. Насколько удачны будут эти векторы нам лишь предстоит увидеть.
За последнюю неделю количество фейковых звонков с иностранных номеров в Россию выросло в 16 раз. Об этом рассказали в Сбере. Всплеск удалось заметить в том числе благодаря пользователям, которые отправляли жалобы через раздел «Сообщи о мошеннике» в приложении СберБанк Онлайн.
Такие звонки — не новость: злоумышленники давно используют облачные АТС, где можно быстро взять в аренду номер с кодом другой страны.
Чаще всего — европейских. Иногда — стран с «похожими» номерами (например, +84 95), чтобы выглядело более правдоподобно. Всё это делается через IP-телефонию, что позволяет обходиться без операторов сотовой связи и затрудняет блокировку.
Зампред правления Сбера Станислав Кузнецов отметил, что несмотря на резкий рост таких звонков, в общем объёме мошеннических вызовов их пока немного. Антифрод-система банка их фиксирует и ставит подозрительные операции на усиленный контроль — благодаря этому удаётся избегать хищений.
Но в банке всё равно призывают не терять бдительность:
«Если вам звонят с незнакомого номера из-за границы — просто не отвечайте. Если у вас нет родных или деловых контактов за рубежом, то такие звонки почти наверняка мошеннические».
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
