Компания Symantec предупреждает о появлении новой мошеннической схемы, в которой используются поддельные ресурсы обновления Adobe Flash. Компьютеры пользователей, согласившихся на обновление, инфицируются вредоносным приложением-вымогателем и утилитой, которая автоматически переходит по рекламным ссылкам.
Главная цель преступников – заставить пользователя загрузить и инсталлировать вредоносную утилиту. Сайт предлагает два варианта загрузки. Первый из них представляет собой отдельный всплывающий баннер, предлагающий загрузить файл «flash_player_updater.exe». Второй вариант – кнопка «Download Now» на странице. Нажатие на нее запускает загрузку файла «update_flash_player.exe». Оба файла являются вредоносными и распознаются как «Downloader.Ponik».
В процессе анализа специалистам удалось выяснить, что вирус не только крадет пароли, но и способны получать доступ к данным авторизации от протоколов удаленного доступа (SSH, telnet, FTP), а также отслеживают почтовые аккаунты по протоколам POP3, IMAP и SMTP.
Приложение flash_player_updater.exe после загрузки посылает запрос на командный сервер, откуда получает команду на загрузку другой вредоносной программы, которая занесена в антивирусные базы как Trojan.Ransomlock.Q. Далее новый вирус скачивает зашифрованный файл и блокирует операционную систему. Примечательно, что троянская утилита способно определить используемый пользователем антивирус и использовать его логотип.
Второе вредоносное приложение — update_flash_player.exe — также посылает запрос на управляющий сервер, откуда получает команду на начало загрузки файлов. Загруженные приложения инсталлируются на зараженный ПК и функционируют в фоновом режиме, незаметно для пользователя кликая по рекламным ссылкам. Данная угроза идентифицируется как Trojan Horse.