Мир: Злоумышленники изменили методы доставки вредоносного ПО

0

К настоящему времени большинство пользователей уже научилось с подозрением относиться к спаму и не открывать различные документы MS Office, RTF- и PDF-файлы, прикрепленные в качестве вложения к непрошенным электронным письмам. Тем не менее, вирусописатели не устают изобретать новые способы обмана пользователей, спам-фильтров и антивирусных решений. Как обнаружили исследователи компании Symantec, теперь киберпреступники используют вредоносные файлы WSF (Windows Script Files) для распространения троянов, в частности, вымогательского ПО.

За последние две недели эксперты зафиксировали несколько крупных кампаний, в ходе которых злоумышленники использовали WSF-файлы для доставки вымогателя Locky. Файл WSF действует как формат контейнера, т.е. поддерживает не только “родные” скриптовые языки VBScript и JScript, но и другие “чужие” языки. Данные файлы открываются и запускаются компонентом Windows Script Host (WSH). Файлы с расширением .wsf не блокируются автоматически некоторыми почтовыми клиентами и могут запускаться как исполняемые файлы, поясняют специалисты Symantec.

К примеру, в ходе одной из кампаний атакующие рассылали спам-письма содержащие .zip-архив, в котором находился вредоносный WSF-файл. При его запуске на компьютер жертвы загружался вымогатель Locky. Исследователи также отметили рост масштабов спам-кампаний, содержащих вредоносные WSF-файлы. Если в июне 2016 г. было зафиксировано 22 тыс. таких писем, то в июле цифра достигла 2 млн., а в сентябре – 2,2 млн. (Symantec/NovostIT)