ΑρχικήsecurityΨεύτικη σελίδα του PayPal εξαπλώνει το Nemty ransomware

Ψεύτικη σελίδα του PayPal εξαπλώνει το Nemty ransomware

ransomwareΕρευνητές ανακάλυψαν ότι κάποιοι hackers έχουν δημιουργήσει μια ψεύτικη σελίδα, η οποία υποτίθεται ότι προσφέρει μια επίσημη εφαρμογή του PayPal. Στην πραγματικότητα, στοχεύει στην εξάπλωση μιας νέας παραλλαγής του Nemty ransomware.

Το τελευταίο διάστημα έχουμε δει διάφορες παραλλαγές του συγκεκριμένου ransomware. Φαίνεται ότι οι hackers που κρύβονται πίσω από αυτό, αναζητούν συνεχώς νέους τρόπους για να το μοιράσουν στους ανυποψίαστους χρήστες.

Στην περίπτωση της ψεύτικης σελίδας του Paypal, οι hackers προσπαθούν να προσελκύσουν τα θύματά τους, υποσχόμενοι ότι θα γίνει επιστροφή 3-5% από τις αγορές που πραγματοποιήθηκαν μέσω του συστήματος πληρωμών.

Υπάρχουν πολλές ενδείξεις, από τις οποίες μπορεί να καταλάβει κάποιος ότι πρόκειται για απάτη. Για παράδειγμα, πολλοί browsers επισημαίνουν τη σελίδα ως επικίνδυνη. Ωστόσο, υπάρχουν πολλοί χρήστες που είναι ανυποψίαστοι και μπορεί να πέσουν στην παγίδα των hackers και να προχωρήσουν στη λήψη και εκτέλεση του κακόβουλου λογισμικού, το οποίο είναι γνωστό με το όνομα “cashback.exe”.

Ο ερευνητής ασφάλειας, που ανακάλυψε τη νέα παραλλαγή του Nemty ransomware και τη διανομή του μέσω της ψεύτικης σελίδας Paypal είναι ο nao_sec. Ο ερευνητής χρησιμοποίησε το περιβάλλον δοκιμών AnyRun για να τρέξει το κακόβουλο λογισμικό και να παρακολουθήσει τα προβλήματα που δημιουργεί στα μολυσμένα συστήματα.

Ο ερευνητής διαπίστωσε ότι το ransomware χρειάζεται περίπου επτά λεπτά για να κρυπτογραφήσει τα αρχεία του θύματος. Ωστόσο, ο χρόνος μπορεί να διαφοροποιείται ανάλογα με το σύστημα που επηρεάζεται από το ransomware.

Το θετικό στοιχείο είναι ότι η νέα παραλλαγή εντοπίζεται από τα περισσότερα δημοφιλή προγράμματα προστασίας από ιούς.

“Homoglyph” ​​επίθεση

Αν κάποιος δεν δώσει πολλή προσοχή, τότε η σελίδα θα του φανεί αυθεντική. Οι hackers έχουν προσπαθήσει πολύ, ώστε η σελίδα να είναι όσο πιο αληθοφανής γίνεται.

Για να είναι ακόμα πιο πειστικό, οι απατεώνες χρησιμοποιούν το λεγόμενο “homograph domain name spoofing” για διάφορα links του site, όπως Βοήθεια & Επικοινωνία, Ασφάλεια και άλλα.

Ο ερευνητής ασφάλειας Vitali Kremez ανέλυσε αυτή την παραλλαγή του Nemty ransomware και διαπίστωσε ότι πρόκειται για την έκδοση 1.4.

Ο ερευνητής παρατήρησε ότι ο έλεγχος “isRU”, ο οποίος ελέγχει αν ο μολυσμένος υπολογιστής βρίσκεται στη Ρωσία, την Ουκρανία, τη Λευκορωσία, το Καζακστάν ή το Τατζικιστάν έχει αλλάξει. Στη συγκεκριμένη παραλλαγή του ransomware, εάν το αποτέλεσμα του ελέγχου βγει θετικό, τότε τα συστήματα δεν έχουν μολυνθεί (δεν έχουν κρυπτογραφηθεί τα αρχεία τους).

Ωστόσο, οι hackers στοχεύουν και άλλες χώρες και εκείνες βρίσκονται σε κίνδυνο.

Το Nemty ransomware έχει γίνει γνωστό το τελευταίο διάστημα. Εδώ και αρκετό κυκλοφορεί σε hacking forums. Ωστόσο, η ευρύτερη κοινότητα το έμαθε στα τέλη Αυγούστου, όταν ο ερευνητής Vitali Kremez το ανακάλυψε και δημοσίευσε τα ευρήματά του.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS