Операторы вымогательского ПО не устают изобретать новые способы усложнить работу исследователей в области кибербезопасности. Сотрудники подразделения Microsoft Malware Protection Center (ММРС) выявили ряд новых кампаний, в ходе которых киберпреступники распространяют вымогательское ПО в составе установщиков NSIS.
Nullsoft Scriptable Install System (NSIS) — система создания установочных программ для Microsoft Windows с открытыми исходными кодами, созданная компанией Nullsoft. Технология NSIS популярна среди разработчиков ПО, которые используют ее для создания инсталляторов для различных приложений.
По словам исследователей, модифицированные установщики используют шифрование для сокрытия вредоносного кода, который после загрузки в память компьютера, расшифровывается и исполняется.
С декабря 2016 года эксперты наблюдают медленный рост числа подобных зараженных инсталляторов и связывают его с рядом кампаний по распространению вредоносного ПО, использующих новый метод инфицирования. Как полагают исследователи, все эти кампании являются частью дистрибьюторской сети, услугами котрой пользуются различные киберпреступные группы, в частности, стоящие за распространением вымогателей Locky, Cerber, Crypt0L0cker, CTB-Locker, CryptoWall и Wadhrama.
В основном вымогательское ПО распространяется посредством спам-кампаний, в рамках которых злоумышленники используют вредоносные документы Microsoft Office, загрузчики JavaScript, .ZIP архивы и .LNK файлы для загрузки инфицированных инсталляторов NSIS.