Фалшивата реклама разпространява Locky ransomware (криптовирус) и удря Windows потребителите.
Windows потребителите са цел на вълна от зловредни реклами, в които се предлага фалшива кръпка за Adobe Flash Player и ако потребителите се излъжат, си инсталират криптовирус.
Тази зловредна рекламна кампания е сред последните от серия атаки, които използват рекламни мрежи, за да разпространяват опасни файлове сред потребителите.
Разбира се, нещата щяха да са доста по-различни, ако от Майкрософт не бяха решили да използват всяка една възможност да предлагат реклами на потребителите в продуктите си.
Фалшивата реклама се маскира като доста убедителен критичен ъпдейт за Adobe Flash. Ако бъде активирана, сваленият файл стартира PowerShell команда, която от своя страна сваля Javascript. За щастие домейнът, откъдето се е свалял скриптът вече е свален.
Вярва се, че атаката има за цел да разпространява криптовируса Locky. Престъпната група зад този криптовирус постоянно регистрира и дерегистрира различни домейни, за да може винаги да е една крачка пред разследващите органи и кибер специалистите. По този начин те не могат да ги преследват и идентифицират.
В официално заявление от Майкрософт призовават потребителите да са по-внимателни и че са наясно с различните техники на социален инженеринг, които могат да бъдат използвани, за да се прилъжат потребителите да отидат в зловреден сайт или да свалят опасен файл.
„Ние продължаваме да окуражаваме потребителите да бъдат особено внимателни при отварнето на непоискани файлове и линкове от познати и непознати източници и да използват редовно обновяван антивирусен софтуер.“
Locky е един от най-често разпространяваните вируси от типа ransomware. Това е само един от начините му на разпространение. През последната голяма кампания през есента зловредният файл беше разпространяван предимно чрез фишинг имейл кампании, като се използваха Windows Script File (WSF) прикрепени файлове.
WSF позволяват смесването на няколко програмни езика в един файл и се отварят и стартират посредством Windows Script Host. За съжаление WSF файловете не се блокират от филтрите на някои имейл клиенти и могат да бъдат стартирани като .exe изпълним файл. Именно заради това се използват доста широко от различни зложелатели.