Троян для «Однокласників» і «Вконтакте» поширювався через латиноамериканські сайти

IP-адреси в модифікованому файлі hosts

IP-адреси в модифікованому файлі hosts

Міжнародна антивірусна компанія Eset повідомила нові подробиці про троянську програму Win32/Bicololo, націленої на користувачів соціальних мереж.

Win32/Bicololo.A – троян, метою якого є крадіжка персональних даних інтернет-користувачів.  Дана загроза поширюється під виглядом посилань на графічні файли з розширенням Jpg.  При активації подібного посилання замість зображення завантажується шкідливе ПЗ.

Потрапивши на комп’ютер, шкідлива програма модифікує системний файл hosts, щоб при спробі користувача зайти на певний легальний сайт таємно перенаправляти його на фальшиву сторінку, яка належить зловмисникам.  Вся інформація, введена користувачем на такій сторінці, автоматично потрапляє до зловмисників.

У файлі hosts, модифікованому програмою Win32/Bicololo, були виявлені посилання на сайти «Однокласники» і «Вконтакте», а також на портал Mail.ru – тобто загроза націлена на користувачів саме цих ресурсів.

Як пояснили в Eset, хоча змінений файл hosts містить адреси мобільних версій сайтів (m.ok.ru, m.vk.com та ін), загроза Win32/Bicololo не поширюється на мобільні платформи і розрахована тільки на сімейство операційних систем Windows.

Експерти компанії виявили зразки описуваної модифікації Win32/Bicololo в один день в чотирьох різних країнах: Аргентині, Бразилії, Колумбії і Чилі.  Саме тому спочатку передбачалося, що ця загроза має латиноамериканське походження.

Проте, детальний аналіз загрози підтверджує її російське коріння: в коді Win32/Bicololo зустрічаються коментарі російською мовою. 

За даними експертів Eset, сайти з доменами. Ar,. Br,. Cl і. Co, використані для розміщення шкідливого ПЗ, є цілком легальними ресурсами.  Вони спеціально були заражені програмами-зломщиками з метою поширення даної модифікації Win32/Bicololo.  Швидше за все, ці сайти були виявлені зловмисниками шляхом автоматичного сканування на предмет вразливостей, вважають експерти компанії.

Крім того, у своїй схемі кібератаки злочинці використовували два сервери.  На одному були розміщені фальшиві аналоги головних сторінок «ВКонтакте», «Однокласники» і Mail.ru, другий використовувався для зв’язку з шкідливою програмою.  Ці сервери могли бути орендовані або зламані кіберзлочинцями.  Судячи з IP-адрес, вони розташовані за межами Латинської Америки.

У 2013 р. родина троянів Win32/Bicololo незмінно потрапляє до рейтингу найбільш поширених в Росії шкідливих програм, який щомісяця складається аналітиками Eset.  Різні модифікації Bicololo можуть поширюватися різними способами, маскуючись під легальні програму або файли.  У Eset рекомендують дотримуватися обережності, не відкривати посилання в невідомих повідомленнях і не відключати антивірусне ПЗ.

Залишити коментар

Ваша електронна адреса не буде опублікована.Обов'язкові поля позначені *

*