Nemucod, cel mai activ troian de tip downloader din 2016 revine într-o nouă serie de atacuri

Descoperită de cercetătorii ESET o nouă campanie având ca element central malware-ul Nemucod răspândeşte de această dată un backdoor, în loc de ransomware.

Nemucod a fost folosit în câteva campanii mari în 2016, atingând o cotă de 24% din rata de detecţie la nivel global pe 30 martie 2016. Atacurile regionale în numite ţări au avut un nivel de prevalenţă de peste 50% pe parcursul anului 2016. În trecut, sarcinile malware asociate Nemucod aparţineau în principal familiilor ransomware, cele mai frecvente fiind Locky sau TeslaCrypt. În cea mai recentă campanie detectată de sistemul ESET, încărcătura malware a Nemucod este un backdoor de tip ad-clicking, numit Kovter.

În calitate de backdoor, acest troian permite atacatorului să controleze echipamentul afectat de la distanţă, fără consimţământul sau cunoştinţa victimei. Varianta analizată de către cercetătorii ESET a fost înzestrată cu capacitatea de ad-clic, mediată prin intermediul unui browser încorporat. Troianul poate activa până la 30 de thread-uri separate, fiecare vizitând site-uri web şi generând clic-uri pe reclame. Numărul de thread-uri se poate schimba în funcţie de comenzile primite de la atacator şi pot fi modificate automat – din moment ce Kovter monitorizează utilizarea procesorului. În cazul în care computerul este inactiv, malware-ul poate aloca mai multe resurse pentru activităţile sale până când este detectată activitatea utilizatorului.

În mod standard pentru Nemucod, versiunea curentă care livrează Kovter se răspândeşte sub forma unui ataşament ZIP trimis prin e-mail, deghizat ca o factură, ce conţine în fapt un fişier executabil infectat de tip JavaScript. În cazul în care utilizatorul cade în capcană şi execută fişierul infectat – downloader-ul Nemucod – descarcă Kovter pe maşină şi îl execută.

Experţii în securitate de la ESET recomandă să urmăm regulile generale de prudenţă la navigarea pe internet şi să urmăm de asemenea următoarele sfaturi pentru a preveni compromiterea dispozitivelor:

• În cazul în care clientul de e-mail sau serverul de mail oferă opţiunea de blocare a ataşamentelor în funcţie extensie, merită luată în considerare opţiunea de blocare a ataşamentelor trimise cu extensiile .EXE, *.BAT, *.cmd, *.SCR şi *.js.
• Este indicat să se verifice dacă sistemul de operare afişează extensiile fişierelor. Acest lucru ajută la identificarea reală a tipului unui fişier în cazul unei extensii duble (de exemplu, ca nu cumva “FACTURA.PDF.EXE” să fie afişat ca “FACTURA.PDF”).
• În cazul în care primiţi în mod frecvent şi în mod legitim acest tip de fişiere, verificaţi cu atenţie cine este expeditorul şi dacă există ceva suspect, scanaţi mesajul şi anexele sale cu o soluţie de securitate fiabilă.