Несколько компаний из мира сетевой безопасности сообщают об огромной волне спама, который распространяет вредоносные JavaScript-вложения. Итогом их работы становится появление на компьютерах приложения-вымогателя Locky. Об этом говорят компании ESET и Proofpoint, последняя называет эту волну спама крупнейшей за последние годы.
Все вредоносные письма распространяли архив ZIP, который после распаковки оказывался файлов JavaScript. Многие пользователи запускали его, вредоносный код JavaScript автоматически выполнялся посредством сервиса Windows Script Host (WSH). Обычно скачивалось и запускалось вредоносное ПО, наиболее распространённым среди которого было приложение-вымогатель Locky. Оно появилось в начале года и связано с ботнетом Dridex. В предыдущих кампаниях по распространению спама вредоносные вложения также приводили к установке банковских троянов и вымогателей вроде TeslaCrypt и CryptoWall.
В последней кампании Proofpoint увидела рост числа спамерских писем с индийских и вьетнамских адресов. ESET говорит о направленности атак на европейские страны, а приложение Locky входило в состав JS/Danger.ScriptAttachment. Locky использует слабый алгоритм шифрования (XOR) для сокрытия вредоносного кода JavaScript, чтобы избежать обнаружения антивирусами.
Компания Comodo Threat Research Labs (CTRL) обнаружила рост распространения Locky с маскировкой в виде писем от Amazon относительно доставок товара; в этом случае использовали макросы для Office, а не JavaScript.