Jeden z najbardziej popularnych i groźnych ransomware – Dharma, zyskał właśnie nową odmianę. Jak zauważyli eksperci Trend Micro, kolejny klon tego szkodnika próbuje tym razem sposobu „na antywirusa”.
Tym razem wykorzystuje przy tym prawdziwą aplikację – ESET AV Remover. Sam sposób ekstrakcji przebiega w wyniku maila phisingowego, który przedstawia się jako Microsoft, a w treści wiadomości informuje o podejrzanej aktywności na PC ofiary, oraz wymogu sprawdzenia poprawności działania antywirusa. Wówczas właśnie ściąga się paczka z realnym programem ESET AV Remover, a także sam ransomware. Paczka po samo-rozpakowaniu, użytkownik dostaje propozycję uruchomienia ESET AV Remover. Nie jest on wymagany jednak by ransomware się uruchomił, a służy jedynie by uśpić czujność ofiary.
Po kilku minutach potrzebnych na zaszyfrowanie zawartości, ofiara jest stawiana przed faktem dokonanym i oknie o okupie. To pokazuje, że cyberprzestępcy wciąż szukają nowych sposobów, by nas wyprowadzić w pole.
Źródła:
blogt.rendmicro.com
zdnet.com
pancernik.it