信息來源:hackernews
近期,有網(wǎng)站通過冒充 PayPal 官網(wǎng),向不知情的用戶傳播 Nemty 勒索軟件的新變種。
這個惡意軟件的運營商正在嘗試各種分發(fā)渠道,因為它被檢測出是 RIG 漏洞利用工具包(EK)的有效載荷。
通過返現(xiàn)獎勵引誘用戶
當(dāng)前最新的 Nemty 來自于該假冒 PayPal 網(wǎng)站,該網(wǎng)站承諾,將返還支付金額的 3-5% 給使用該網(wǎng)站進行支付操作的用戶。
網(wǎng)友可以通過一些細(xì)節(jié)判斷出此網(wǎng)站并非官網(wǎng),該網(wǎng)站也被多家主流瀏覽器標(biāo)記為危險,但用戶還是有可能會繼續(xù)下載和運行惡意軟件“cashback.exe”。
安全研究人員 nao_sec 發(fā)現(xiàn)了新的 Nemty 分發(fā)渠道,并使用 AnyRun 測試環(huán)境來部署惡意軟件并在受感染的系統(tǒng)上跟蹤其活動。
自動分析顯示,勒索軟件加密受害主機上的文件大約需要7分鐘。具體時間可能因系統(tǒng)而異。
幸運的是,該勒索軟件可以被市場上最流行的防病毒產(chǎn)品檢測到。對 VirusTotal 的掃描顯示 68 個防病毒引擎中有 36 個檢測到了該軟件。
同形字攻擊
因為網(wǎng)絡(luò)犯罪分子使用的就是原網(wǎng)頁的構(gòu)造,所以該詐騙網(wǎng)站看起來就是官方網(wǎng)站。
為了增強欺騙性,網(wǎng)絡(luò)犯罪分子還使用所謂的同形異義域名鏈接到了網(wǎng)站的各個部分(包括幫助和聯(lián)系,費用,安全,應(yīng)用和商店)。
騙子在域名中使用來自不同字母表的 Unicode 字符。瀏覽器會自動將它們轉(zhuǎn)換為 Punycode Unicode 中的內(nèi)容看起來像 paypal.com,而在Punycode 中以 ‘xn--ayal-f6dc.com’ 的形式存在。
安全研究員 Vitali Kremez 指出這個 Nemty 勒索軟件變種目前處于1.4版本,此版本修復(fù)了前版本中的一些小錯誤。
他觀察到的一件事是“isRU” 檢查已經(jīng)被修改了,該檢查可以驗證受感染的計算機是否在俄羅斯,白俄羅斯,哈薩克斯坦,塔吉克斯坦或烏克蘭。在最新版本中,如果檢查結(jié)果為真,那么惡意軟件不會隨著文件加密功能而移動。
但是,這些國家/地區(qū)以外的計算機會被設(shè)為目標(biāo),他們的文件會被加密,副本也會被刪除。
根據(jù)測試顯示,黑客提出的贖金為 0.09981 BTC,約為 1,000美元,并且支付門戶被匿名托管在了 Tor 網(wǎng)絡(luò)上。
8月底,另一位安全研究員 Mol69 看到Nemty 通過RIG EK 進行分發(fā),這樣的做法十分反常,因為瞄準(zhǔn) Internet Explorer 和 Flash Player 這些不受歡迎的產(chǎn)品的攻擊套件目前已經(jīng)基本不存在了。