Як захиститись від зловмисних файлів, які крадуть дані з Вашого компʼютера
Вірусні аналітики компанії «Доктор Веб» повідомляють про компрометацію ряду сайтів - від новинних блогів до корпоративних ресурсів, - створених на CMS WordPress. JavaScript-сценарій, вбудований в код зламаних сторінок, перенаправляє відвідувачів на фішингову сторінку, де користувачам пропонується встановити важливе оновлення безпеки для браузера Chrome. Завантаження файлу являє собою інсталятор шкідливого ПО, яке дозволяє зловмисникам дистанційно керувати інфікованими комп'ютерами. На даний момент «оновлення» скачали понад 2000 осіб.
За даними вірусної лабораторії «Доктор Веб», за атакою стоїть група зловмисників, раніше причетна до поширення підробленого установника популярного редактора відео VSDC, як через офіційний сайт програми, так і за допомогою сторонніх каталогів. На цей раз хакерам вдалося отримати адміністративний доступ до CMS ряду сайтів, які стали використовуватися в ланцюжку зараження. В коди сторінок скомпрометованих сайтів вбудований сценарій, написаний на JavaScript, який перенаправляє користувачів на фішингову сторінку, що маскується під офіційний ресурс компанії Google.
Вибірка користувачів здійснюється на основі геолокації і визначення браузера користувача. Цільова аудиторія - відвідувачі з США, Канади, Австралії, Великобританії, Ізраїлю та Туреччини, що використовують браузер Google Chrome. Варто зауважити, що скачуваний файл має валідний цифровий підпис, аналогічний підпису фальшивого установника NordVPN, розповсюджуваного тією ж злочинною групою.
Механізм зараження реалізований наступним чином. При запуску програми в директорії% userappdata% створюється папка, що містить файли утиліти для віддаленого адміністрування TeamViewer, а також виконується розпакування двох захищених паролем SFX-архівів. В одному з архівів знаходиться шкідлива бібліотека msi.dll, що дозволяє встановити несанкціоноване з'єднання з зараженим комп'ютером, і пакетний файл для запуску браузера Chrome зі стартовою сторінкою Google [.] Com. З другого архіву витягується скрипт для обходу вбудованого антивірусного захисту OC Windows. Шкідлива бібліотека msi.dll завантажується в пам'ять процесом TeamViewer, попутно приховуючи від користувача його роботу.
За допомогою бекдора зловмисники отримують можливість доставляти на інфіковані пристрої корисне навантаження у вигляді шкідливих додатків. Серед них:
кейлоггер X-Key Keylogger,
Стілер Predator The Thief,
троян для віддаленого управління по протоколу RDP.
Всі згадані загрози успішно детектируются продуктами Dr.Web і не становлять небезпеки для наших користувачів. Фішингова сторінка з шкідливим вмістом додана в список небезпечних і не рекомендованих сайтів.
Читайте також:
- Поділитись:
- Twitter(X)
- Telegram
- Viber
Популярний месенджер чи реальна небезпека?: відомо...
Буданов назвав Telegram загрозою націона...
08.09.2024 11:17 84 0 ІТ і технології
Ціни шокують: уже з 27 вересня українці зможуть пр...
Відомо скільки коштуватиме iPhone 16 в У...
11.09.2024 13:01 225 0 ІТ і технології
Уже в жовтні: Microsoft припинить підтримку деяких...
Планується припинення підтримки одразу 7...
11.09.2024 22:01 127 0 ІТ і технології
Українська кіберспортивна команда лідирує за перег...
Гравці української NaVi 22 липня вдруге ...
12.09.2024 13:04 79 0 ІТ і технології
В Apple хочуть блокувати деякі iPhone: хто ризикує...
Вчора, 12 вересня, для бета-тестерів зап...
13.09.2024 23:08 360 0 ІТ і технології