Пользователи Skype стали мишенями атак вымогателей через вредоносную рекламу

Ряд пользователей в последние дни жаловались на рекламу в приложении Microsoft Skype, которая содержит вредоносный код и при запуске приводит к установке приложений-вымогателей. Обсуждение этого появилось в социальной сети Reddit в среду. Автор топика утверждает, что начальная страница Skype содержит фальшивую рекламу якобы критически важного обновления плагина Flash.

Реклама активирует скачивание HTML-приложения, которое выглядит как достоверное. При его запуске скачивается вредоносный код, который блокирует компьютеры и зашифровывает файлы. Ещё два пользователя пожаловались на эту же проблему в четверг. Один из пользователей выставил исходный код приложения.

Код написан на JavaScript, после запуска первоначальное приложение удаляется и запускается PowerShell, далее скачивается JavaScript Encoded Script (JSE) с уже закрытого домена. Все эти шаги призваны затруднить обнаружение антивирусами.

Есть предположение, что эта реклама является ответвлением кампании по распространению вымогателя Locky, где содержится троян Kovter, который отвечает за вредоносную рекламу. Locky также использует JavaScript, не прибегая к помощи промежуточных приложений.

Неизвестно, сколько доменов используется в нынешней кампании, но явно больше одного. Skype не первый раз становится источником подобной рекламы. В 2015 году здесь наблюдалась вредоносная реклама на Java и Flash.