Ряд пользователей в последние дни жаловались на рекламу в приложении Microsoft Skype, которая содержит вредоносный код и при запуске приводит к установке приложений-вымогателей. Обсуждение этого появилось в социальной сети Reddit в среду. Автор топика утверждает, что начальная страница Skype содержит фальшивую рекламу якобы критически важного обновления плагина Flash.
Реклама активирует скачивание HTML-приложения, которое выглядит как достоверное. При его запуске скачивается вредоносный код, который блокирует компьютеры и зашифровывает файлы. Ещё два пользователя пожаловались на эту же проблему в четверг. Один из пользователей выставил исходный код приложения.
Код написан на JavaScript, после запуска первоначальное приложение удаляется и запускается PowerShell, далее скачивается JavaScript Encoded Script (JSE) с уже закрытого домена. Все эти шаги призваны затруднить обнаружение антивирусами.
![](/figs/u/316767/170331085637/imgur-post-3_mini_oszone.jpg)
Есть предположение, что эта реклама является ответвлением кампании по распространению вымогателя Locky, где содержится троян Kovter, который отвечает за вредоносную рекламу. Locky также использует JavaScript, не прибегая к помощи промежуточных приложений.
Неизвестно, сколько доменов используется в нынешней кампании, но явно больше одного. Skype не первый раз становится источником подобной рекламы. В 2015 году здесь наблюдалась вредоносная реклама на Java и Flash.