Поддельное обновление Adobe Flash занимается вымогательством и кликфродом

13.03.2013

Корпорация Symantec сообщила об обнаружении новой вредоносной кампании, использующей для обмана пользователей поддельные сайты обновления Adobe Flash. Их компьютеры заражаются вредоносной программой-вымогателем и программой-автокликом, которая ходит по рекламным ссылкам от имени пользователя (кликфрод).

Корпорация Symantec сообщила об обнаружении новой вредоносной кампании, использующей для обмана пользователей поддельные сайты обновления Adobe Flash. Их компьютеры заражаются вредоносной программой-вымогателем и программой-автокликом, которая ходит по рекламным ссылкам от имени пользователя (кликфрод).

Поддельная страница обновления Adobe Flash В качестве одного из ярких примеров специалисты компании Symantec указывают сайт, выдающий себя за страницу обновления Adobe Flash Player: http://16.a[REMOVED]rks.com/adobe/.

Злоумышленнику удалось создать достаточно правдоподобную копию официального сайта, однако все же был допущен ряд недочётов: большая часть ссылок ведёт назад на атакующий домен, и абсолютно все ссылки на странице — кроме ссылки на само вредоносное содержимое — к корневому каталогу сайта, что приводит к ошибке 404 (страница не найдена).

Основная цель злоумышленника — добиться установки вредоносной программы, и для увеличения шансов он предлагает на выбор пользователю два варианта. Первый вариант представляет собой всплывающее окно, предлагающее пользователю скачать файл под названием «flash_player_updater.exe». Вторая опция — кнопка «Download Now», после нажатия на которую начинает скачиваться файл «update_flash_player.exe». Продукты компании Symantec идентифицируют оба файла как Downloader.Ponik.

В ходе исследования выяснилось, что помимо кражи паролей эти вредоносные программы выискивают в системе учётные записи удалённого доступа по FTP/telnet/SSH, а также отслеживают учётные записи почты по протоколам SMTP, IMAP и POP3.

И, несмотря на то, что обе эти программы принадлежат к одному типу, ведут они себя по-разному: в первом случае устанавливается программа-вымогатель (ransomware), а во втором — робот, кликающий по рекламным ссылкам. И то и другое, разумеется, — незаконные способы получения прибыли.

Вариант 1 Файл «flash_player_updater.exe» обращается через порт 8080 по адресу http://lum[REMOVED]th.com/forum/viewtopic.php, откуда получает команду на скачивание файла по ссылкам:

  • http://ocean[REMOVED]ba.co.za/;
  • http://sys[REMOVED]55.info/;
  • http://topaz[REMOVED]al.net/.

Все три файла идентичны. Используя несколько источников, злоумышленник лишь повышает их доступность. Специалисты компании Symantec определяют эти файлы как Trojan.Ransomlock.Q.

Как только запускается один из этих файлов, на заражённом компьютере появляется обновлённая версия программы-вымогателя Trojan.Ransomlock.Q, после чего последняя подключается к своему серверу управления, загружает зашифрованный файл и затем блокирует компьютер.

Интересно, что троянская программа также определяет производителя установленного антивируса и подставляет его логотип вместо стандартного логотипа Windows. В данном случае исследователи Symantec отключили антивирус Norton 360 и получили следующее предложение об оплате: MoneyPak использует 14-значный формат ввода. В качестве эксперимента специалисты ввели произвольный 14-значный код и получили сообщение с текстом «Ваш код обрабатывается. Повторный ввод не ускорит процесса. Обработка может занять до 12 часов, не выключайте компьютер».

Введенная информация шифруется и отправляется на сервер управления злоумышленников.

Вариант 2 Файл «update_flash_player.exe» также через порт 8080 обращается по адресу http://lum[REMOVED]th.com/forum/viewtopic.php, откуда получает команду на скачивание файлов по следующим ссылкам:

  • twinp[REMOVED] ng.com/;
  • labos[REMOVED]ra.eu/;
  • ftp.calm[REMOVED]ge.com/.

Эти файлы устанавливаются на зараженный компьютер и работают в фоновом режиме, скрытно от пользователя нарабатывая клики по рекламе. Антивирусные продукты компании Symantec обеспечивают защиту от этой угрозы, идентифицируя её как Trojan Horse.

Чтобы не стать жертвой подобного рода атак, эксперты Symantec рекомендуют использовать актуальные версии антивирусного и другого ПО для обеспечения безопасности. Не скачивайте обновления со сторонних сайтов и всегда обращайте внимание на URL-адрес перед тем, как начать загрузку файла.