Πέμπτη, 4 Ιουνίου, 13:17
Αρχική security Ψεύτικη σελίδα του PayPal εξαπλώνει το Nemty ransomware

Ψεύτικη σελίδα του PayPal εξαπλώνει το Nemty ransomware

ransomwareΕρευνητές ανακάλυψαν ότι κάποιοι hackers έχουν δημιουργήσει μια ψεύτικη σελίδα, η οποία υποτίθεται ότι προσφέρει μια επίσημη εφαρμογή του PayPal. Στην πραγματικότητα, στοχεύει στην εξάπλωση μιας νέας παραλλαγής του Nemty ransomware.

Το τελευταίο διάστημα έχουμε δει διάφορες παραλλαγές του συγκεκριμένου ransomware. Φαίνεται ότι οι hackers που κρύβονται πίσω από αυτό, αναζητούν συνεχώς νέους τρόπους για να το μοιράσουν στους ανυποψίαστους χρήστες.

Στην περίπτωση της ψεύτικης σελίδας του Paypal, οι hackers προσπαθούν να προσελκύσουν τα θύματά τους, υποσχόμενοι ότι θα γίνει επιστροφή 3-5% από τις αγορές που πραγματοποιήθηκαν μέσω του συστήματος πληρωμών.

Υπάρχουν πολλές ενδείξεις, από τις οποίες μπορεί να καταλάβει κάποιος ότι πρόκειται για απάτη. Για παράδειγμα, πολλοί browsers επισημαίνουν τη σελίδα ως επικίνδυνη. Ωστόσο, υπάρχουν πολλοί χρήστες που είναι ανυποψίαστοι και μπορεί να πέσουν στην παγίδα των hackers και να προχωρήσουν στη λήψη και εκτέλεση του κακόβουλου λογισμικού, το οποίο είναι γνωστό με το όνομα “cashback.exe”.

Ο ερευνητής ασφάλειας, που ανακάλυψε τη νέα παραλλαγή του Nemty ransomware και τη διανομή του μέσω της ψεύτικης σελίδας Paypal είναι ο nao_sec. Ο ερευνητής χρησιμοποίησε το περιβάλλον δοκιμών AnyRun για να τρέξει το κακόβουλο λογισμικό και να παρακολουθήσει τα προβλήματα που δημιουργεί στα μολυσμένα συστήματα.

Ο ερευνητής διαπίστωσε ότι το ransomware χρειάζεται περίπου επτά λεπτά για να κρυπτογραφήσει τα αρχεία του θύματος. Ωστόσο, ο χρόνος μπορεί να διαφοροποιείται ανάλογα με το σύστημα που επηρεάζεται από το ransomware.

Το θετικό στοιχείο είναι ότι η νέα παραλλαγή εντοπίζεται από τα περισσότερα δημοφιλή προγράμματα προστασίας από ιούς.

“Homoglyph” ​​επίθεση

Αν κάποιος δεν δώσει πολλή προσοχή, τότε η σελίδα θα του φανεί αυθεντική. Οι hackers έχουν προσπαθήσει πολύ, ώστε η σελίδα να είναι όσο πιο αληθοφανής γίνεται.

Για να είναι ακόμα πιο πειστικό, οι απατεώνες χρησιμοποιούν το λεγόμενο “homograph domain name spoofing” για διάφορα links του site, όπως Βοήθεια & Επικοινωνία, Ασφάλεια και άλλα.

Ο ερευνητής ασφάλειας Vitali Kremez ανέλυσε αυτή την παραλλαγή του Nemty ransomware και διαπίστωσε ότι πρόκειται για την έκδοση 1.4.

Ο ερευνητής παρατήρησε ότι ο έλεγχος “isRU”, ο οποίος ελέγχει αν ο μολυσμένος υπολογιστής βρίσκεται στη Ρωσία, την Ουκρανία, τη Λευκορωσία, το Καζακστάν ή το Τατζικιστάν έχει αλλάξει. Στη συγκεκριμένη παραλλαγή του ransomware, εάν το αποτέλεσμα του ελέγχου βγει θετικό, τότε τα συστήματα δεν έχουν μολυνθεί (δεν έχουν κρυπτογραφηθεί τα αρχεία τους).

Ωστόσο, οι hackers στοχεύουν και άλλες χώρες και εκείνες βρίσκονται σε κίνδυνο.

Το Nemty ransomware έχει γίνει γνωστό το τελευταίο διάστημα. Εδώ και αρκετό κυκλοφορεί σε hacking forums. Ωστόσο, η ευρύτερη κοινότητα το έμαθε στα τέλη Αυγούστου, όταν ο ερευνητής Vitali Kremez το ανακάλυψε και δημοσίευσε τα ευρήματά του.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

LIVE NEWS

Netwalker ransomware: Συνεχίζει να επιτίθεται σε πανεπιστήμια

Οι hackers πίσω από το Netwalker Ransomware ισχυρίζονται ότι επιτέθηκαν στο University of California San Francisco (UCSF)...

Coincheck: Hackers παραβίασαν domain για spear-phishing επιθέσεις

Η ιαπωνική υπηρεσία cryptocurrency exchange, Coincheck, ανακοίνωσε ότι έπεσε θύμα hacking επίθεσης. Οι επιτιθέμενοι παραβίασαν ένα από...

Ο Firefox 77 κυκλοφορεί το WebRender σε περισσότερα Windows 10 laptops

Η Mozilla κυκλοφόρησε τον Firefox 77 σήμερα, 2 Ιουνίου 2020, στο Stable desktop για Windows, macOS και Linux με επιδιορθώσεις σφαλμάτων, νέες...

Έρχονται ακόμα περισσότερες Lenovo συσκευές με Linux

Η Lenovo αποφάσισε να εντάξει περισσότερο την Linux εμπειρία στις συσκευές της. Η εταιρεία ανακοίνωσε ότι θα επικυρώσει ολόκληρη σειρά P ThinkPad...

Η γλώσσα προγραμματισμού Rust στο top 20 της Tiobe

Η γλώσσα προγραμματισμού Rust έχει εισέλθει στο top 20 της Tiobe για πρώτη φορά, αλλά εξακολουθεί να είναι πέντε θέσεις πίσω από...

GCam (Google Camera): Πως θα εγκαταστήσετε τις λειτουργίες της σε Android

Οι προγραμματιστές κατάφεραν να εισάγουν την εφαρμογή «Google Camera» (GCam), των συσκευών Google Pixel, σε συσκευές Android! Τώρα, και οι μη χρήστες...

Ο Mark Zuckerberg δικαιολογεί την στάση του απέναντι στον Trump

Την Τρίτη o Mark Zuckerberg, Διευθύνων Σύμβουλος του Facebook, ζήτησε από τους υπαλλήλους να καθησυχάσουν την οργή τους για την αδράνεια του,...

Devuan Beowulf 3.0.0: Η νέα έκδοση του Debian χωρίς systemd

Το Devuan GNU + Linux είναι μια διανομή του Debian, η οποία χρησιμοποιεί sysvinit ή OpenRC ως...

Google: Αφαίρεσε από το App Store την εφαρμογή “Remove China Apps”

Η Alphabet Inc’s, προχώρησε στη διαγραφή της εφαρμογής "Remove China Apps", μέσω της οποίας οι χρήστες διέγραφαν Κινέζικες εφαρμογές. Στις 3 Ιουνίου,...

Πεντάγωνο: Παραίτηση συμβούλου μετά την επίθεση σε διαδηλωτές!

Ο Τζέιμς Μίλερ, μέλος του Συμβουλίου Defense Science στο Πεντάγωνο, υπέβαλε παραίτηση μετά τη βίαιη συμπεριφορά του καθεστώτος Τραμπ σε ειρηνικούς διαδηλωτές...