Як захиститись від зловмисних файлів, які крадуть дані з Вашого компʼютера
Вірусні аналітики компанії «Доктор Веб» повідомляють про компрометацію ряду сайтів - від новинних блогів до корпоративних ресурсів, - створених на CMS WordPress. JavaScript-сценарій, вбудований в код зламаних сторінок, перенаправляє відвідувачів на фішингову сторінку, де користувачам пропонується встановити важливе оновлення безпеки для браузера Chrome. Завантаження файлу являє собою інсталятор шкідливого ПО, яке дозволяє зловмисникам дистанційно керувати інфікованими комп'ютерами. На даний момент «оновлення» скачали понад 2000 осіб.
За даними вірусної лабораторії «Доктор Веб», за атакою стоїть група зловмисників, раніше причетна до поширення підробленого установника популярного редактора відео VSDC, як через офіційний сайт програми, так і за допомогою сторонніх каталогів. На цей раз хакерам вдалося отримати адміністративний доступ до CMS ряду сайтів, які стали використовуватися в ланцюжку зараження. В коди сторінок скомпрометованих сайтів вбудований сценарій, написаний на JavaScript, який перенаправляє користувачів на фішингову сторінку, що маскується під офіційний ресурс компанії Google.
Читайте на ГК:“Живі” черги скасували: через ажіотаж закордонні паспортні сервіси вжили заходівЧитайте на ГК:Жертви фактично душили самі себе: в Європі виявили ритуальні жертвоприношення (ФОТО)
Читайте на ГК:Кількасотметрові черги, ажіотаж і хаос: українці за кордоном масово “атакують“ паспортні столи
Вибірка користувачів здійснюється на основі геолокації і визначення браузера користувача. Цільова аудиторія - відвідувачі з США, Канади, Австралії, Великобританії, Ізраїлю та Туреччини, що використовують браузер Google Chrome. Варто зауважити, що скачуваний файл має валідний цифровий підпис, аналогічний підпису фальшивого установника NordVPN, розповсюджуваного тією ж злочинною групою.
Механізм зараження реалізований наступним чином. При запуску програми в директорії% userappdata% створюється папка, що містить файли утиліти для віддаленого адміністрування TeamViewer, а також виконується розпакування двох захищених паролем SFX-архівів. В одному з архівів знаходиться шкідлива бібліотека msi.dll, що дозволяє встановити несанкціоноване з'єднання з зараженим комп'ютером, і пакетний файл для запуску браузера Chrome зі стартовою сторінкою Google [.] Com. З другого архіву витягується скрипт для обходу вбудованого антивірусного захисту OC Windows. Шкідлива бібліотека msi.dll завантажується в пам'ять процесом TeamViewer, попутно приховуючи від користувача його роботу.
Читайте на ГК:Ізраїль заявив, що готовий застосувати атомну зброю у відповідь на атаку Ірану: людство опинилося на порозі ядерної війниЧитайте на ГК:Війська західних країн можуть опинитися в Україні: заява ексспецпредставника США в Україні
Читайте на ГК:Google стане платним?: користувач повинен буде заплатити за пошуковик в деяких випадках
За допомогою бекдора зловмисники отримують можливість доставляти на інфіковані пристрої корисне навантаження у вигляді шкідливих додатків. Серед них:
кейлоггер X-Key Keylogger,
Стілер Predator The Thief,
троян для віддаленого управління по протоколу RDP.
Всі згадані загрози успішно детектируются продуктами Dr.Web і не становлять небезпеки для наших користувачів. Фішингова сторінка з шкідливим вмістом додана в список небезпечних і не рекомендованих сайтів.