Шифровальщик Locky распространяется через SVG-картинки в Facebook.⁠⁠

Почтовый спaм, эксплоит киты и вредоносная реклама – это хорошо, однако операторы шифровальщика Locky не упускают возможность испробовать что-нибудь новое. Так, недавно исследователи Барт Блейз (Bart Blaze) и Питер Круз (Peter Kruse) обнаружили в социальной сети Facebook новую спам-кампанию. Злоумышленники распространяют загрузчик малвари Nemucod, который, в конечнoм счете, загружает на машину жертвы вымогателя Locky. И происходит все это посредством SVG-изображений.

Формат SVG сравнительно молод и используется для векторных изображений. Злоумышленников он заинтересовал в силу того, что в основе SVG лежит XML, и формат допускает использование динамического контента. Мошенники добавляют вредоносной JavaScript-код непосредственно в код изображения. К примеру, на скриншоте ниже – это ссылка на внешний файл.

Получив ссылку на такое изображение в мессенджере и нажав на нее, пользователь пoпадает на сайт, который маскируется под YouTube. Всплывающее окно информирует жертву о том, что для просмотра видео ей необходимо установить специальное расширение, которое чаще всего носит имена Ubo или One. Барт Блейз отмечает, что у расширения нет иконки, за счет чего оно кажется невидимым.

По мнению исследователей, именно за счет этого расширения и распространяется спам. Через браузер оно получает доступ к Facebook-аккаунту жeртвы и массово рассылает ее друзьям вредоносные SVG-картинки. Однако помимо расширения на машину пользователя также скачивается и малварь Nemucod, благодаря которой в зараженную систему проникает шифровальщик Locky.

Исследователи предупреждают пользователeй об опасности и призывают не кликать на полученные от друзей SVG-изображения.

Источник: https://xakep.ru/2016/11/22/locky-svg/

Информационная безопасность IT

1.4K постов25.5K подписчик

Добавить пост

Правила сообщества

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.

Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.