Nemucod در سال 2016، در چند کمپین بزرگ مورد استفاده قرار گرفت و 24% سهم تشخیص بدافزارهای جهانی را در 30 مارچ سال 2016 به خود اختصاص داد. حملات محلی در کشورهایی مشخص، سطح شیوعی به مراتب بالاتر از 50% را در سال 2016 داشته اند. در گذشته، Nemucod در درجه اول از خانواده ی باج افزارها بود درست همانند Locky و یا Teslacrypt. در جدیدترین کمپین شناسایی شده توسط ESET دو مورد Nemucod ، ad-clicking backdoor است که Kovter نامیده شده است.
به عنوان یک Backdoor ، این تروجان به مهاجمان امکان کنترل دستگاه قربانیان را از راه دور، بدون اطلاع و رضایت آنان می دهد. این تروجان می تواند بیش از 30 تهدید را به طور همزمان فعال کرده و هرکدام از آنها نیز می توانند به بازدید از وب سایت ها و کلیک بر روی تبلیغات بپردازند. تعداد این تهدیدات می تواند مطابق دستور مهاجمان تغییر کند و از جاییکه Kovter بر سطح عملکرد کامپیوتر نظارت می کند، قادر به تغییر تهدیدات به صورت خودکار می باشند. چنانچه کامپیوتری غیرفعال باشد، بدافزار می تواند تا زمانی که فعالیت بیشتر از سوی کاربر شناسایی شود، منابع بیشتری را به فعالیت های خود اختصاص دهد.
مطابق استاندارد Nemucod ، نسخه ی اخیر Kovter از طریق فایل پیوست ZIP به صورت ایمیل و با تظاهر به اینکه این فایل یک فاکتور می باشد منتشر شده و دربردارنده ی فایل اجرایی و آلوده ی Javascript می باشد. اگر کاربری به دام افتاده و فایل آلوده را اجرا کند، Kovter بر روی دستگاه دانلود و اجرا خواهد شد.
در ارتباط با Nemucod توصیه ی کارشناسان ESET ، پیروی از قوانین عمومی امنیتی به منظور تامین امنیت بیشتر و همچنین دنبال کردن پیشنهادات زیر می باشد:
- چنانچه سرویس گیرنده ی ایمیل و یا سرور شما، پیشنهاد مسدود کردن فایل های پیوست با پسوندهای مختلف را می دهد، بهتر است این فایل ها را مسدود سازید : .EXE, *.BAT, *.CMD, *.SCR and *.JS.
- اطمینان حاصل نمائید که سیستم عامل شما پسوند فایل ها را نمایش دهد، به این ترتیب به شما کمک خواهد کرد تا بتوانید فایل های درست را از فایل های آلوده تشخیص دهید. ( برای مثال “INVOICE.PDF.EXE” به این صورت نمایش داده نمی شود “INVOICE.PDF”).
- چنانچه اغلب اوقات و البته به صورت قانونی چنین فایل هایی دریافت می کنید، لازم است بررسی کنید که فرستنده چه کسی می باشد و چنانچه به مورد مشکوکی برخورد کردید، پیام را اسکن کرده و توسط راه حل امنیتی قابل اعتماد، فایل پیوست را بررسی و سپس آن را باز کنید.
منبع : ESET