Компания Eset сообщила о новом способе распространения трояна Nymaim, который требует с пользователей заплатить за разблокировку компьютера от 150 до 300 долларов. Злоумышленники освоили новый способ распространения вредоносной программы-вымогателя Nymaim, подменяя в поисковой выдаче Google различные искомые файлы установщиком Nymaim. Раньше заражение этим вредоносным ПО осуществлялось при помощи комплекта взломщиков-эксплойтов BlackHole, которые использовали имеющиеся уязвимости в приложениях или операционной системе Windows на компьютере жертвы.

Эксперты антивирусной лаборатории Eset обнаружили эту вредоносную программу во множестве загруженных при помощи браузера файлов. Они установили, что реферальные ссылки, ведущие на загрузку вредоносных файлов, принадлежат Google. Это означает, что перед заражением пользователь ввел в Google-поиск некий запрос и кликнул на одну из ссылок в поисковой выдаче.

Согласно результатам исследования веб-страниц, которые инициировали загрузку вредоносного кода, для масштабного заражения злоумышленники использовали так называемую "темную поисковую оптимизацию" (Black Hat SEO), с помощью которой продвигали специально созданные вредоносные страницы в топ выдачи по популярным ключевым словам. Кликнув на такую ссылку в поисковой выдаче, пользователь перенаправляется на вредоносную страницу, после чего начинается загрузка архива, название которого - для повышения доверия - соответствует введенному в строку поиска тексту. То есть один и тот же архив будет загружен с разными именами, в зависимости от поискового запроса.

Поисковые запросы могли быть самыми различными. Пользователи, компьютеры которых были заражены Nymaim, искали, к примеру, программу-редактор видео, учебник английского языка, образ игры Donkey Kong, саундтрек к мультфильму "Барби и 12 танцующих принцесс" и так далее.