Symantec: в России появляются новые доступные инструменты для вымогательства в интернете
Корпорация Symantec сообщает о новой угрозе вымогательства через интернет. На российских подпольных форумах были зарегистрированы продажи готовых комплектов ПО для реализации данной угрозы. С помощью этих продуктов злоумышленники могут отслеживать данные своих жертв - их местоположение и даты платежей, а также создавать различные виды троянов.
Вымогательство становится все более популярным среди киберпреступников, так как такие методы часто срабатывают, а потенциал получения прибыли очень велик. На рынке появляются новые варианты ПО и техники для осуществления таких видов мошенничества.
Один из них детектируется как Trojan.Ransomlock.K. Его появление не стало сюрпризом, однако во время анализа специалисты Symantec нашли активный сервер C&C с точкой входа, которую использовала данная угроза.
Проведя дальнейшее изучение программы, специалисты Symantec узнали, что панель управления, называемая Silent Locker, может быть легко загружена из интернета и используется вместе с Trojan.Ransomlock.K. Панель управления Silent Locker в русской версии обладает несколькими типичными возможностями. Основной экран интерфейса служит, чтобы отслеживать количества успешных заражений.
Любопытно, что панель управления обладает возможностью показывать жертве картинку в зависимости от местоположения IP-адреса. Это значит, что во время заражения компьютера Trojan.Ransomlock.K, машина обращается к сайту, на котором размещена панель управления, и в зависимости от IP-адреса скомпрометированного компьютера пользователю будет показано определенное изображение. Это позволяет киберпреступникам использовать панель управления для локализации приемов социального инжиниринга, повышая потенциальную возможность успешного распространения угрозы.
При выборе картинки по умолчанию, жертва увидит экран с абстрактной картинкой и пустым полем для ввода реквизитов и кнопкой «вход». Однако если киберпреступник загрузит свою картинку, жертва увидит локализованное сообщение о том, что необходимо оплатить защиту системы. Это окно отличается от окна по умолчанию только фоновым рисунком. При этом код самой страницы остается прежним, он позволяет жертве произвести оплату через одну из платежных систем, результат транзакции будет отражен в панели управления Silent Locker.
Вредоносное ПО и фишинговые инструменты, использующие панели управления для веб-сайтов, часто применяются киберпреступниками. Продажа готовых комплектов для реализации угрозы Trojan.Ransomlock.K недавно была зарегистрирована на российских подпольных форумах: наборы для вымогательства продаются под названием «Silence Of winLocker».
После оплаты автор обещает выслать билдер для создания готового комплекта Trojan.Ransomlock.K, панели управления Silence Locker, а также инструкцию и обеспечить техническую поддержку - все это за 2500 WMZ.
Хотя Silence Locker может значительно расширить распространение угроз вымогательства сегодня, это не единственный билдер, доступный для киберпреступников. Другие абсолютно бесплатные билдеры, например, MBRLocker, могут быть найдены на различных подпольных форумах.
Этот билдер позволяет злоумышленникам создавать Trojan.Bootlock.B, способный заражать главную загрузочную запись (MBR). Благодаря этому можно сделать так, что операционная система не сможет загрузиться, пока жертва не введет код, инструкции, для получения которого появляются на экране. Это усложняет процедуру избавления от вредоносного кода, когда компьютер уже заражен.
Наборы вредоносного ПО различных типов, а также их популярность в криминальной среде являются важными проблемами в наше время. Пока за создание вредоносного ПО можно получить деньги, а недостатки международных законов создают поле для такой деятельности, такие угрозы будут становиться все популярнее и изощреннее.
#vk
© iXBT
