1. Новини Закарпаття
  2. >

Чому не варто оновлювати браузер Chrome

25.03.2020 22:14 ІТ і технології

Як захиститись від зловмисних файлів, які крадуть дані з Вашого компʼютера

Як захиститись від зловмисних файлів, які крадуть дані з Вашого компʼютера

Вірусні аналітики компанії «Доктор Веб» повідомляють про компрометацію ряду сайтів - від новинних блогів до корпоративних ресурсів, - створених на CMS WordPress. JavaScript-сценарій, вбудований в код зламаних сторінок, перенаправляє відвідувачів на фішингову сторінку, де користувачам пропонується встановити важливе оновлення безпеки для браузера Chrome. Завантаження файлу являє собою інсталятор шкідливого ПО, яке дозволяє зловмисникам дистанційно керувати інфікованими комп'ютерами. На даний момент «оновлення» скачали понад 2000 осіб.

 

За даними вірусної лабораторії «Доктор Веб», за атакою стоїть група зловмисників, раніше причетна до поширення підробленого установника популярного редактора відео VSDC, як через офіційний сайт програми, так і за допомогою сторонніх каталогів. На цей раз хакерам вдалося отримати адміністративний доступ до CMS ряду сайтів, які стали використовуватися в ланцюжку зараження. В коди сторінок скомпрометованих сайтів вбудований сценарій, написаний на JavaScript, який перенаправляє користувачів на фішингову сторінку, що маскується під офіційний ресурс компанії Google.

Читайте на ГК:Сестра реперки Cardi B знялася в прозорому бікіні (ФОТО)
Читайте на ГК:У Чехії кількість померлих пацієнтів з коронавірусом сягнула п'яти осіб
Читайте на ГК:"Пірати Карибського моря": мережу підкорює ролик з неймовірним виконанням саундтреку до фільму на скрипках двома юними італійцями (ВІДЕО)

Вибірка користувачів здійснюється на основі геолокації і визначення браузера користувача. Цільова аудиторія - відвідувачі з США, Канади, Австралії, Великобританії, Ізраїлю та Туреччини, що використовують браузер Google Chrome. Варто зауважити, що скачуваний файл має валідний цифровий підпис, аналогічний підпису фальшивого установника NordVPN, розповсюджуваного тією ж злочинною групою.

 

Механізм зараження реалізований наступним чином. При запуску програми в директорії% userappdata% створюється папка, що містить файли утиліти для віддаленого адміністрування TeamViewer, а також виконується розпакування двох захищених паролем SFX-архівів. В одному з архівів знаходиться шкідлива бібліотека msi.dll, що дозволяє встановити несанкціоноване з'єднання з зараженим комп'ютером, і пакетний файл для запуску браузера Chrome зі стартовою сторінкою Google [.] Com. З другого архіву витягується скрипт для обходу вбудованого антивірусного захисту OC Windows. Шкідлива бібліотека msi.dll завантажується в пам'ять процесом TeamViewer, попутно приховуючи від користувача його роботу.

Читайте на ГК:Як уряд слідкує за вами завдяки пандемії
Читайте на ГК:Facebook знижує якість медіа в Європі та Південній Америці
Читайте на ГК:IBM допоможе врятувати світ від COVID-19

За допомогою бекдора зловмисники отримують можливість доставляти на інфіковані пристрої корисне навантаження у вигляді шкідливих додатків. Серед них:

 

кейлоггер X-Key Keylogger,

Стілер Predator The Thief,

троян для віддаленого управління по протоколу RDP.

 

Всі згадані загрози успішно детектируются продуктами Dr.Web і не становлять небезпеки для наших користувачів. Фішингова сторінка з шкідливим вмістом додана в список небезпечних і не рекомендованих сайтів.

Цей матеріал також доступний на таких мовах:Російська