Специалисты по кибербезопасности обнаружили новую спам-кампанию, маскирующуюся под любовное послание. Письмо не скупится на зловредность и доставляет на ПК под управлением Windows сразу тройную полезную, так сказать, нагрузку. Вредоносный скрипт, приложенный к письму, загружает на устройство спамбот, шифровальщик и майнер криптовалюты. Имена вложенных файлов начинаются со слов Love_You_.
Вот нарисованная экспертами понятная схема, как работает зловред:
Все вредоносные компоненты рассылки по отдельности хорошо известны экспертам, новым является лишь их совместное использование и сама тематика кампании.
К письму «Love You» прилагается ZIP-архив с JavaScript-файлом, содержавшим обфусцированный код загрузчика. Попав на устройство, даунлоудер связывается с командным сервером и загружает с него программу для добычи криптовалюты XMRig, спамбот Phorpiex и вымогатель GandCrab версии 5.0.4. Зловред также автоматически заражает USB-носители, подключенные к устройству.
Спам-ботнет Phorpiex, также известный как Trik, наблюдается специалистами уже около 10 лет, ему было посвящено недавнее обширное исследование Proofpoint . находится в сфере внимания специалистов около десяти лет. Ботнет используется для доставки майнеров криптовалюты и программ-шифровальщиков, а также спамботов другой вредоносной сети, Pushdo.
Шифровальщик GandCrab был обнаружен в январе 2018 года и с тех пор стал одним из наиболее распространенных и активных вымогателей, придя на смену Locky и Cerber. Зловред постоянно обновляется, а специалисты по кибербезопасности, в свою очередь, публикуют дешифраторы для новых весий.