Ransomware CryptoWall se širi uz pomoć malicioznih reklama na velikim web sajtovima

Opisi virusa, 09.06.2014, 00:05 AM

Ransomware CryptoWall se širi uz pomoć malicioznih reklama na velikim web sajtovima

Maliciozne reklame na domenima koji pripadaju Dizniju, Fejsbuku, Gardijanu i drugim kompanijama vode posetioce do malvera koji šifruju kompjuterske fajlove i traže otkup za njih, upozorila je kompanija Cisco Systems.

Do ovog otkrića se došlo ubrzo posle velike policijske akcije protiv bot mreže koja je distribuirala bankarskog Trojanca Gameover Zeus i ransomware CryptoLocker, koji se pojavio prošle godine i za samo dva meseca zarazio skoro 250 hiljada računara.

Istraga koju je sproveo Cisco otkrila je tehnički kompleksan i veoma delotvoran način infekcije velikog broja računara ransomwareom CryptoWall.

Cloud Web Security, koji proizvodi Cisco, prati surfovanje korisnika i beleži posete sumnjivim malicioznim domenima. CWS dnevno prati milijarde zahteva web stranicama.

CWS je blokirao 90 domena, od kojih su mnogi WordPress sajtovi. Istraga je pokazala da su mnogi korisnici CWS završili na spornim domenima pošto su gledali reklame na domenima kao što su “apps.facebook.com”, “awkwardfamilyphotos.com”, “theguradian.co.uk” i “go.com” koji je u vlasništvu Diznija, ali i mnogim drugim domenima.

Klik na reklamu presumerava žrtvu na jedan od 90 malicioznih domena. Ova vrsta napada naziva se malvertajzing. Malvetrajzing je već duže vreme veliki problem sa kojim se bore oglasne mreže, koje pokušavaju da otkriju maliciozne reklame na svojim mrežama.

Dešava se povremeno da maliciozne reklame promaknu proveri, pa budu prikazane na velikom broju sajtova prijavljenih na mrežu ili partnerske mreže, pri čemu vlasnici web sajtova često ne znaju za to.

Problem sa malvertajzingom je u tome što ljudi očekuju da su ugledni sajtovi sigurni, ali na njima ima mnogo eksternih linkova, pa ovakva očekivanja nisu uvek opravdana.

90 domena sa malicioznim reklamama su hakovani, objašnjavaju iz kompanije Cisco, navodeći da su u slučaju WordPress sajtova korišćeni brute-force napadi, da bi se pristupilo kontrolnim panelima sajtova. Napadači su zatim ubacivali exploit alat Rig, koji je napadao računare posetilaca.

Rig proverava da li na računarima posetilaca ima ranjivog Flasha, Internet Explorera, Jave ili Silverlighta. Ako je nešto od ovoga nezakrpljeno, napad će biti uspešan. Rig je otkriven u aprilu ove godine.

U sledećoj fazi napada, instalira se ransomware nazvan Cryptowall, koji je srodan poznatijem malveru Cryptolocker. On šifruje fajlove korisnika i zahteva od korisnika da plati dešifrovanje. Web sajt na kome žrtva može platiti otkup za svoje zarobljene fajlove je skriveni sajt koji koristi Tor.onion domen.

Da bi korisnik pristupio takvom web sajtu, mora imati instaliran Tor, a uputstva kako to da uradi dobija od malvera Cryptowall. Za one koji oklevaju sa plaćanjem raste cena otkupa.

U kompaniji Cisco pretpostavljaju da u ovoj prevari učestvuje nekoliko grupa ili ljudi koji su specijalizovani za malvertajzing, preusmeravanje, pisanje exploita i kampanje ransomwarea.

Cryptowall je najnovija verzija malvera Cryptolocker koji je delo istih programera koji su stvorili i ransomware CryptoDefence, koji se pojavio krajem marta. Tada su stručnjaci otkrili da ovaj malver ima jednu ozbiljnu grešku, koja je rezultat previda autora koji su zaboravili ključeve za dešifrovanje sakrivene na zaraženom računaru.

Da bi ispravili grešku, autori malvera su stvorili Cryptowall, a šifrovane fajlove na sistemu nije moguće dešifrovati.

Kada je CryptoWall instaliran na sistemu, on će početi da skenira hard disk tražeći fajlove i šifrujući ih. Kada završi sa šifrovanjem, CryptoWall kreira fajlove koji sadrže uputstvo za korisnika o tome kako da plati za dešifrovanje fajlova, koje se nalazi u svakom šifrovanom folderu. Od žrtve se traži da plati 500 dolara.

Najveći broj infekcija zabeležen je u SAD, a zatim slede Velika Britanija i Australija.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Malver „Sign1“ inficira WordPress veb sajtove, i preusmerava posetioce na prevare ili ih bombarduje reklamama, upozorili su istraživači ... Dalje

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje