Файл содержит код JavaScript с IP-адресом, перенаправляющим жертв на ресурс, содержащий CryptoWall.
Исследователи ИБ-компании AppRiver зафиксировали кампанию, в ходе которой злоумышленники пытались распространять вымогательское ПО при помощи файлов SVG.
Как пояснили специалисты, преступники рассылали электронные письма, к которым было прикреплено фальшивое резюме. Приложение к письму представляло собой ZIP-архив, содержавший файл с расширением SVG. Он включал небольшой код JavaScript, который злоумышленники использовали для перенаправления жертв на вредоносную страницу, распространявшую вымогательское ПО.
Код JavaScript, проанализированный специалистами, содержал IP-адрес, перенаправлявший пользователей на ресурс, содержащий CryptoWall – один из наиболее популярных представителей семейства вымогателей. Вредонос инфицирует компьютер жертвы и шифрует важные файлы, требуя затем выкуп за их дешифрование.
CryptoWall уже не раз доказывал свою эффективность тем, что пользователи в большинстве случаев действительно платят требуемую сумму, отмечают эксперты. Данная практика до сих пор существует и, скорее всего, продолжит развиваться дальше. Исследователи AppRiver рекомендуют пользователям делать резервные копии важных файлов и сохранять там, где вредоносы не смогут до них добраться.
При анализе исполняемого файла была замечена интересная деталь – он содержал SQL-команды с жесткой кодировкой, которые, по всей видимости, таргетировали базы данных школ. Тем не менее, эксперты не исключают вероятности того, что данные команды были включены просто для усложнения проведения анализа вредоносного ПО.
Спойлер: она начинается с подписки на наш канал