Специалисты по кибербезопасности из словацкой компании Eset (известной своим «патрулированием» Google Play) предупредила о новой (уже, кажется, третьей) волне атаки программы-вымогателя Shade, нацеленной на российские компании.
Программа распространяется через спам-рассылку, при этом письма маскируются злоумышленниками под уведомления от известных брендов типа «Высылаю подробности заказа» (например, от «Бинбанка» и розничной сети «Магнит»). Во вложении таких писем находится ZIP-архив, который содержит JavaScript-файл под названием «Информация.js»; после извлечения и запуска этот файл скачивает вредоносный загрузчик, детектируемый продуктами Eset как Win32/Injector. В свою очередь загрузчик запускает финальную полезную нагрузку – вымогатель Shade (он же Troldesh), который шифрует широкий спектр файлов на локальных дисках.
На компьютере жертвы сохраняется инструкция по оплате выкупа в TXT-файле, сообщение написано на русском и английском языках. Наибольшую активность зловред проявляет в России (более 52% от всех обнаруженных вредоносных вложений), также случаи заражени зафиксированы в Германии, Японии и Украине. Любопытно, что в письме зачастую присутствует строка, имитирующая отметку о проверке каким-либо защитным решением, – злоумышленники считают, что так письмо вызовет больше доверия.
История этого известного своей многофункциональностью зловреда тянется достаточно долго. Впервые ИБ-эксперты заговорили о Shade в 2015 году. Вымогатель распространялся тогда под видом документов Word, в которые встроен вредоносный Javascript-код. Жертвы получали троян со спамом или скачивают его с опасных сайтов.
Специалисты «Лаборатории Касперского» подчеркивали, что опасность зловреда значительно возрастает за счет его способности скачивать и распаковывать сторонние программы. Как правило, эту нагрузку составляло ПО для кражи личных данных, например трояны ZeuS или Pony.
В конце 2018 года уже была волна атак Shade, тогда угрозу удалось обнаружить по нескольким упоминаниям зловреда в Twitter. Пораженная шифровальщиком машина также начинает накручивать клики для недобросовестных рекламных площадок.
Также троян создает Tor-трафик – очевидно, так организована коммуникация с командным сервером. Далее Shade уточняет IP-адрес компьютера и начинает отправлять пакеты зашифрованных данных на SMTP-сервер mail.ru. После четырех циклов проверки IP и SMTP-коммуникаций зловред начинает генерировать простой веб-трафик, обращаясь к множеству сайтов в доменных зонах европейских государств и *.com. Такое поведение характерно для мошенничества с рекламными ссылками.
