Ransomware Dharma w przebraniu instalatora ESET.

Jeden z najbardziej popularnych i groźnych ransomware – Dharma, zyskał właśnie nową odmianę. Jak zauważyli eksperci Trend Micro, kolejny klon tego szkodnika próbuje tym razem sposobu „na antywirusa”.

Tym razem wykorzystuje przy tym prawdziwą aplikację – ESET AV Remover. Sam sposób ekstrakcji przebiega w wyniku maila phisingowego, który przedstawia się jako Microsoft, a w treści wiadomości informuje o podejrzanej aktywności na PC ofiary, oraz wymogu sprawdzenia poprawności działania antywirusa. Wówczas właśnie ściąga się paczka z realnym programem ESET AV Remover, a także sam ransomware. Paczka po samo-rozpakowaniu, użytkownik dostaje propozycję uruchomienia ESET AV Remover. Nie jest on wymagany jednak by ransomware się uruchomił, a służy jedynie by uśpić czujność ofiary.

Po kilku minutach potrzebnych na zaszyfrowanie zawartości, ofiara jest stawiana przed faktem dokonanym i oknie o okupie. To pokazuje, że cyberprzestępcy wciąż szukają nowych sposobów, by nas wyprowadzić w pole.

Źródła:

blogt.rendmicro.com
zdnet.com
pancernik.it