Злоумышленники перехитрили сами себя

Исследователи компании Trustwave сообщили о массированной вредоносной спам-кампании, в ходе которой злоумышленники под видом обновления операционной системы Windows пытаются распространять зловред-шифровальщик Cyborg. Момент для кампании выбран вполне удачно: с января Microsoft прекращает поддержку ОС Windows 7, так что многим консервативным пользователям придется переходить на более новые версии операционной системы. На это и рассчитывают организаторы атаки, снабжая свои сообщения заголовком Critical Microsoft Windows Update. В действительности под видом обновления ОС скрывается шифровальщик Cyborg, пользователям следует игнорировать подобные сообщения.

Впрочем, хорошая новость состоит в том, что атака в любом случае провалилась. Исполняемый файл-загрузчик Cyborg киберпреступники замаскировали под файл изображения JPEG. Сделано это, вероятно, чтобы избежать обнаружения защитными решениями. Однако хакеры не учли, что подобные файлы в Windows автоматически загружаются для просмотра в Photo viewer. При этом программа всего лишь выдает сообщение об ошибке файла – и запуска загрузки не происходит. Вредоносные функции будут активированы лишь при запуске файла в командной строке с уровнем привилегий администратора, но трудно представить, что пользователь пойдет на такие ухищрения. Специалисты Trustwave признаются, что и сами не понимают, почему организаторы атаки выбрали столь странный способ распространения вредоносного файла. Теоретически можно предположить, что загрузчик должен запускаться какой-то другой вредоносной программой, уже установленной на пользовательском устройстве. Однако гораздо более вероятно, что хакеры просто продемонстрировали низкий уровень технической осведомленности и, стараясь обмануть защитные решения, в конечном итоге обманули сами себя.

Источник: Bleeping Computer