Вредонос распространяется через фальшивое обновление Adobe Flash Player.
Пользователи Skype обратили внимание на появление подозрительной рекламы. При запуске домашнего экрана программы отображается рекламный баннер, продвигающий якобы критическое обновление Adobe Flash Player, но в действительности программа загружает вымогательское ПО.
Согласно сообщениям на форуме Reddit, после клика на рекламное сообщение на компьютер загружается и запускается по виду легитимное HTML-приложение, которое загружает вредоносную полезную нагрузку на компьютер жертвы. В результате устройство оказывается инфицировано вредоносным ПО.
Понимая, что под приложением скрывается вредоносное ПО, пользователи решили изучить его код. Как выяснилось, запуск фальшивого приложения, предназначенного для атак на компьютеры под управлением Windows, провоцирует исполнение обфусцированного кода JavaScript, который удаляет только что открытое пользователем приложение и запускает команду PowerShell, загружающую JSE-файл с уже несуществующего домена.
В связи с тем, что домен более недоступен, загрузить и проанализировать вредоносную программу не удалось. Но эксперты сходятся во мнении, что речь идет о вымогательском ПО, так как в целом атака схожа с недавней кампанией по распространению шифровальщика Locky и трояна Kovter.
По словам представителя Microsoft, пользователи просто столкнулись с сомнительными рекламными баннерами, сам Skype не скомпрометирован. В компании порекомендовали пользователям установить антивирусы, блокирующие подобные атаки.