假PayPal网站传播Nemty Ransomware

 
假装从PayPal提供官方应用程序的网页目前正在向不知情的用户传播Nemty勒索软件的新变种。
看起来这个文件加密恶意软件的运营商正在尝试各种分发渠道，因为它最近被观察为来自RIG漏洞利用工具包(EK)的有效载荷。
引诱返现奖励
Nemty的最新发生是在假的PayPal页面上观察到的，该页面承诺通过支付系统进行的购买将返回3-5%。
一些线索指向页面的欺诈性质，主要浏览器也标记为危险，但用户可能仍然会躲过这个技巧并继续下载和运行恶意软件，这个恶意软件很方便地命名为“cashback.exe”。
安全研究人员nao_sec发现了新的Nemty分发渠道，并使用AnyRun测试环境来部署恶意软件并在受感染的系统上跟踪其活动。
自动分析显示，勒索软件加密受害主机上的文件大约需要7分钟。但是，这可能因系统而异。
幸运的是，恶意可执行文件被市场上最流行的防病毒产品检测到。对VirusTotal的扫描显示68个防病毒引擎中有36个检测到它。
同性恋攻击
初看起来，网页似乎是真实的，因为网络犯罪分子使用视觉效果和原始页面上的结构。
为了增加欺骗性，网络犯罪分子还使用所谓的同形异义域名欺骗来链接到网站的各个部分(帮助和联系，费用，安全，应用和商店)。
骗子通过在域名中使用来自不同字母表的Unicode字符来实现这一点。为了区分它们，浏览器会自动将它们转换为Punycode。在这种情况下，Unicode中的内容看起来像paypal.com，在Punycode中转换为’xn--ayal-f6dc.com’。
安全研究员Vitali Kremez分析了Nemty勒索软件的这一变种，他指出它现在处于1.4版本，它带有一些小错误修复。
研究人员观察到的一件事是，“isRU”检查已经过修改，该检查可以验证受感染的计算机是否在俄罗斯，白俄罗斯，哈萨克斯坦，塔吉克斯坦或乌克兰。在最新版本中，如果检查结果是肯定的，那么恶意软件不会随着文件加密功能而移动，研究人员告诉BleepingComputer。
信用：Vitali Kremez
但是，这些国家/地区以外的计算机是目标，并且会对其文件进行加密并删除其卷影副本。
Nemty勒索软件已经在网络犯罪论坛上出现了一段时间，但在8月底安全研究人员Vitali Kremez发布了他的分析细节时，它出现在信息安全社区的雷达上。专家注意到代码消息和引用使恶意软件脱颖而出。
BleepingComputer测试显示，赎金需求为0.09981 BTC，约为1,000美元，并且支付门户托管在Tor网络中以匿名。
8月底，另一位安全研究员Mol69看到Nemty通过RIG EK进行分发，考虑到漏洞攻击套件瞄准灭绝的濒临灭绝，这可能是一个奇怪的选择：Internet Explorer， Flash播放器。
根据高级情报部门的Yelisey Boguslavskiy的说法，Nemty在一个网络犯罪论坛上遭到了“极度怀疑和侵略”，这在该社区是正常的。这也可能影响其成功，与Sodinokibi勒索软件目前所享有的相比，这一点无关紧要。