信息來源:hackernews
近期�����,有網(wǎng)站通過冒充 PayPal 官網(wǎng)��,向不知情的用戶傳播 Nemty 勒索軟件的新變種��。
這個惡意軟件的運營商正在嘗試各種分發(fā)渠道����,因為它被檢測出是 RIG 漏洞利用工具包(EK)的有效載荷�����。
通過返現(xiàn)獎勵引誘用戶
當前最新的 Nemty 來自于該假冒 PayPal 網(wǎng)站�,該網(wǎng)站承諾,將返還支付金額的 3-5% 給使用該網(wǎng)站進行支付操作的用戶����。
網(wǎng)友可以通過一些細節(jié)判斷出此網(wǎng)站并非官網(wǎng),該網(wǎng)站也被多家主流瀏覽器標記為危險���,但用戶還是有可能會繼續(xù)下載和運行惡意軟件“cashback.exe”��。
安全研究人員 nao_sec 發(fā)現(xiàn)了新的 Nemty 分發(fā)渠道�,并使用 AnyRun 測試環(huán)境來部署惡意軟件并在受感染的系統(tǒng)上跟蹤其活動��。
自動分析顯示���,勒索軟件加密受害主機上的文件大約需要7分鐘�。具體時間可能因系統(tǒng)而異�����。
幸運的是,該勒索軟件可以被市場上最流行的防病毒產品檢測到��。對 VirusTotal 的掃描顯示 68 個防病毒引擎中有 36 個檢測到了該軟件�����。
同形字攻擊
因為網(wǎng)絡犯罪分子使用的就是原網(wǎng)頁的構造��,所以該詐騙網(wǎng)站看起來就是官方網(wǎng)站����。
為了增強欺騙性,網(wǎng)絡犯罪分子還使用所謂的同形異義域名鏈接到了網(wǎng)站的各個部分(包括幫助和聯(lián)系�,費用�����,安全,應用和商店)�����。
騙子在域名中使用來自不同字母表的 Unicode 字符����。瀏覽器會自動將它們轉換為 Punycode Unicode 中的內容看起來像 paypal.com,而在Punycode 中以 ‘xn--ayal-f6dc.com’ 的形式存在�。
安全研究員 Vitali Kremez 指出這個 Nemty 勒索軟件變種目前處于1.4版本,此版本修復了前版本中的一些小錯誤�����。
他觀察到的一件事是“isRU” 檢查已經(jīng)被修改了���,該檢查可以驗證受感染的計算機是否在俄羅斯,白俄羅斯�,哈薩克斯坦����,塔吉克斯坦或烏克蘭。在最新版本中�,如果檢查結果為真,那么惡意軟件不會隨著文件加密功能而移動�。
但是,這些國家/地區(qū)以外的計算機會被設為目標,他們的文件會被加密�,副本也會被刪除。
根據(jù)測試顯示��,黑客提出的贖金為 0.09981 BTC��,約為 1,000美元����,并且支付門戶被匿名托管在了 Tor 網(wǎng)絡上。
8月底�����,另一位安全研究員 Mol69 看到Nemty 通過RIG EK 進行分發(fā),這樣的做法十分反常,因為瞄準 Internet Explorer 和 Flash Player 這些不受歡迎的產品的攻擊套件目前已經(jīng)基本不存在了���。
