Троянец-вымогатель под видом почтовых уведомлений
Компания ESET сообщила о распространении нового троянца-вымогателя, маскирующегося под официальные уведомления от почтовых служб. ПО TorrentLocker распространяется с помощью спам-писем, содержащих ссылку на фишинговую страницу, где пользователю предлагается установить «программу для отслеживания почтовых отправлений». Антивирусные продукты ESET NOD32 детектируют новую угрозу как Win32/Filecoder.NCC или Win32/Injector.
Первые образцы спама с TorrentLocker, исследованные специалистами ESET, были ориентированы на австралийских пользователей и рассылались от лица почты Австралии. Теперь кибермошенники расширяют географию – эксперты ESET обнаружили аналогичные письма от лица британской Royal Mail.
Загрузка архива с TorrentLocker происходит с доменов royalmail-tracking.info, royalmail-tracking.biz и royalmail-tracking.org, зарегистрированных 2 сентября. Их оформление имитирует дизайн оригинального сайта Королевской почты Великобритании. Поддельные страницы показываются только британским пользователям – потенциальные жертвы с другими IP перенаправляются на google.com.
После установки и запуска TorrentLocker блокирует доступ к документам и требует за расшифровку 350 фунтов стерлингов, если средства будут отправлены в течение 72 ч, и 700 фунтов в ином случае. Выкуп предлагается оплатить биткоинами, причем для австралийских и британских пользователей заведены разные счета.
Специалисты ESET отмечают, что подобная схема распространения характерна не только для TorrentLocker. Летом 2014 г. они обнаружили в Польше спам-письма от государственной почты, в приложении к которым содержался архив с трояном Win32/PSW.Papras.CK для кражи аутентификационных данных.