„Malware Nemucod byl během letošního roku použit při několika kampaních a koncem března dosáhl 24% podílu v celosvětové detekci škodlivých kódů. V minulosti infikoval zařízení ransomwarem, v aktuálních případech, které jsme detekovali, umožnuje šířit backdoor označený jako Kovter,“ řekl Petr Šnajdr, bezpečnostní expert společnosti Eset.

Ransomware je souhrnné označení pro rodinu vyděračských virů, které zašifrují data uložená na pevném disku a za jejich opětovné zpřístupnění požadují po oběti výkupné.

Nezvaný návštěvník kliká na reklamu

Jak již bylo zmíněno výše, útočníci však novou verzi využívají k jiným účelům. Kovter totiž funguje v podstatě jako tzv. ad-clicker, což jinými slovy znamená, že umožňuje útočníkům bez vědomí uživatele na napadených strojích klikat na reklamu.

Podle bezpečnostních expertů může nová hrozba otevřít najednou až tři desítky samostatných oken, přičemž v každém z nich bude zobrazena jiná internetová stránka. Na nich bude počítač automaticky klikat na reklamy, aniž by se uživatel dotknul myši nebo klávesnice.

Záměr útočníků je tedy zřejmý. Nesnaží se uživatele nějak poškodit, nebo odcizit jeho data. Pouze se snaží prostřednictvím umělého navýšení kliků na bannery zvýšit příjmy daných webů z reklamy. Zamčený displej nejde žádným způsobem odemknout.

Inteligentní škodlivý kód

Kovter je přitom poměrně inteligentní škodlivý kód, který se snaží zůstat co nejdéle v utajení. S trochou nadsázky se dá říci, že si hraje s uživatelem na schovávanou. Nezvaný návštěvník totiž dokáže monitorovat aktuální vytíženost počítače a v případě, že na něm uživatel nepracuje, otevírá co nejvíce oken. Naopak, když je přítomnost uživatele zjištěna, virus svoji činnost ukončí a vyčkává na další příležitost.

„Kovter se šíří stejně jako standardní verze malware Nemucod, tedy jako škodlivá příloha e-mailu s příponou .zip, která je označena jako faktura. Dokument ale obsahuje infikovaný samostatně spustitelný JavaScript. Pokud uživatel otevře infikovaný soubor, stáhne si do zařízení Kovter a ten se automaticky spustí. Oběť ani nemusí zaznamenat, že udělala něco špatného. Nová verze trojanu Nemucod je o to zákeřnější,“ doplnil Šnajdr.

Z řádků výše je patrné, že uživatelé by se měli mít na pozoru před otevíráním příloh e-mailů z neznámých zdrojů. Právě tak se Kovter šíří nejčastěji.