Поддельные сайты для взрослых заражают устройства пользователей вайпером

Дата: 10.10.2022. Автор: Артем П. Категории: Новости по информационной безопасности
Поддельные сайты для взрослых заражают устройства пользователей вайпером
Изображение: franco alva (unsplash)

Специалисты фирмы по кибербезопасности Cyble обнаружили киберпреступную кампанию, в рамках которой злоумышленники создают огромное количество поддельных сайтов для взрослых, через которые происходит заражение устройств пользователей программой-вымогателем, на деле оказывающейся вайпером, пытающимся удалить все файлы и данные с зараженной системы.

Эксперты из Cyble пока ещё не поняли, как именно злоумышленникам удаётся продвигать свои фейковые сайты для взрослых в поисковиках. Известно, что для названий таких ресурсов используются сочетания, которые указывают на присутствие соответствующего контента на страницах: nude-girls, sexyphotos, sexy-foto и т. д.

Специалисты отмечают, что на таких сайтах система предлагает пользователям скачать фотографии эротического содержания, которые в действительности оказываются исполняемыми файлами с расширением .exe, лишь замаскированными под изображения.

Если в настройках системы пользователя установлено скрытие расширений файлов, то ему будет показано имя скачанного файла SexyPhotos.JPG — это классический пример маскировки исполняемых файлов.

У киберпреступников здесь расчет на то, что пользователь подумает, что это фотография эротического содержания и попытается ее открыть. После запуска вредоносное ПО скопирует в целевую систему сразу 4 исполняемых файла (del.exe, open.exe, windll.exe и windowss.exe), а также 1 пакетный файл avtstart.bat в специальную директорию %temp%, а затем их запустит. Вместе с этим, пакетный файл будет копировать другие исполняемые файлы в папку автозагрузки — Windows Startup.

На последующем шаге происходит запуск windowss.exe и подгрузка ещё 3-х файлов, в том числе и windows.bat, который отвечает за переименование. Виды файлов и директории, на которые нацелено вредоносное ПО, приведены в таблице, представленной компанией Cyble:

Поддельные сайты для взрослых заражают устройства пользователей вайпером

При этом вредоносное ПО старается выдать себя за программу-вымогатель, потому что пользователю демонстрируется записка с требованием выкупа в размере 300 долларов в биткоинах:

Поддельные сайты для взрослых заражают устройства пользователей вайпером

Но эксперты Cyble отмечают, что вредонос является обычным вайпером, а не программой-вымогателем, потому что вредоносное ПО не крадёт данные. Больше того, у его операторов, судя по всему, даже нет инструмента для восстановления файлов, поэтому перевод денег киберпреступникам не имеет никакого смысла.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *