Компания Eset предупредила оросте активности загрузчика Nemucod. Троянская программа распространяет бэкдор Kovter, кликающий порекламным ссылкам, сообщили CNews вEset.
Nemucod использовался в2016 г. внескольких крупных киберкампаниях. Его доля достигала 24% вобщемировом объеме вредоносных программ, а уровень распространенности вотдельных странах превышал 50%. Ранее загрузчик распространял преимущественно шифраторы, включая Locky иTeslaCrypt.
Вновой кампании, зафиксированной облачной системой Eset LiveGrid, Nemucod используется длязагрузки бэкдора Kovter, предназначенного длянакрутки кликов порекламным объявлениям.
Актуальная версия Nemucod, изученная специалистами Eset, распространяется вспам-рассылке. Кписьму приложен ZIP-архив, где подвидом счета-фактуры скрывается исполняемый файл. Если пользователь запустит зараженный файл, Nemucod загрузит накомпьютер Kovter.
Всвою очередь, Kovter открывает атакующим удаленный доступ кПК жертвы. Модификация бэкдора, изученная специалистами Eset, кликает порекламным ссылкам припомощи встроенного браузера. Кликер поддерживает до30 потоков, вкаждом изкоторых посещает сайты инакручивает просмотры рекламы. Число потоков может меняться покоманде илиавтоматически — взависимости оттекущей производительности компьютера.
Всвязи сростом активности Nemucod специалисты Eset рекомендуют соблюдать базовые правила безопасности иуделить внимание настройкам почты. Вчастности, если почтовый клиент илисервер позволяет блокировать вложения порасширению, лучше заблокировать все отправления сфайлами .EXE, .BAT, .CMD, .SCR и.JS. Приэтом стоит убедиться, что операционная система отображает расширения файлов — это поможет распознать подделки, использующие двойное расширение (например, исполняемый файл INVOICE.PDF.EXE подвидом безвредного INVOICE.PDF). Если файлы с«подозрительным» расширением может прислать доверенный отправитель, стоит тщательно проверять адреса исканировать письма ивложения продуктом длябезопасности.