„Вариант на криптиращ  софтуер от типа рансъмуер, известен като DJVU, е установен да се разпространява под формата на пиратски софтуер.

„Въпреки че този метод на атака не е нов, инциденти, свързани с вариант на DJVU, който добавя разширение .xaro към засегнатите файлове и изисква откуп за дешифратор, са установени да заразяват системи заедно със множество различни зловредни програми за зареждане и извличане на информация,“ каза  изследователят на Cybereason, Ралф Вилануева.

Новият вариант е кодиран като Xaro от американската фирма.

DJVU, като сам по себе си вариант на рансъмуер STOP, обикновено се появява като легитимни услуги или приложения. Той също се доставя като част от пакет на SmokeLoader.

Значителна част от атаките с DJVU включва използването на допълнителен зловреден софтуер, като програми за извличане на информация (например, RedLine Stealer и Vidar), което ги прави по-вредни по своята природа.

В най-новата атака, описана от Cybereason, Xaro се разпространява като архивен файл от съмнителен източник, който се представя като сайт, предлагащ легитимен безплатен софтуер.

Отварянето на архивния файл води до изпълнението на  файл, предполагаемо за инсталация на софтуер за създаване на PDF на име CutePDF, който на практика е платена услуга за изтегляне на зловреден софтуер, известен като PrivateLoader.

PrivateLoader, от своя страна, установява контакт със сървър за контрол (C2), за да изтегли широка гама от зловредни програми за извличане и зареждане като RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig и Fabookie, освен да пусне Xaro.

„Този широк подход към изтеглянето и изпълнението на зловреден софтуер често се наблюдава при инфекции с PrivateLoader, произтичащи от подозрителни сайтове за безплатен софтуер или пиратство,“ обясни Вилануева.

Целта изглежда е да се събере и източи чувствителна информация за двойно  изнудване, както и да се гарантира успехът на атаката, дори ако един от зареждащите компоненти бъде блокиран от  софтуери за сигурност.

Xaro, освен че стартира екземпляр на извличащия информацията Vidar, може да криптира файлове в инфектираното хост устройство, преди да изпусне съобщение за откуп, насърчавайки жертвата да се свърже с хакерите и да плати 980 долара за личния ключ и инструмента за декодиране, цена, която пада на 490 долара, ако се свърже в рамките на 72 часа.

Всъщност, дейността илюстрира рисковете, свързани с изтеглянето на безплатен софтуер от недоверени източници. Миналия месец, Sucuri описа друга кампания, наречена FakeUpdateRU, при която посетителите на компрометирани уебсайтове са изложени на фалшиви известия за обновяване на браузъра, които са били предоставени за доставяне на RedLine Stealer.

„Хакерите са известни с това, че  предпочитат безплатни софтуери, маскирани като начин  тайно да разпространят зловреден софтуер,“ каза Вилануева. „Скоростта и обхвата на влиянието върху заразените машини трябва да бъдат внимателно разбрани от корпоративните мрежи, търсещи защита на себе си и своите данни.“