Як захиститись від зловмисних файлів, які крадуть дані з Вашого компʼютера
Вірусні аналітики компанії «Доктор Веб» повідомляють про компрометацію ряду сайтів - від новинних блогів до корпоративних ресурсів, - створених на CMS WordPress. JavaScript-сценарій, вбудований в код зламаних сторінок, перенаправляє відвідувачів на фішингову сторінку, де користувачам пропонується встановити важливе оновлення безпеки для браузера Chrome. Завантаження файлу являє собою інсталятор шкідливого ПО, яке дозволяє зловмисникам дистанційно керувати інфікованими комп'ютерами. На даний момент «оновлення» скачали понад 2000 осіб.
За даними вірусної лабораторії «Доктор Веб», за атакою стоїть група зловмисників, раніше причетна до поширення підробленого установника популярного редактора відео VSDC, як через офіційний сайт програми, так і за допомогою сторонніх каталогів. На цей раз хакерам вдалося отримати адміністративний доступ до CMS ряду сайтів, які стали використовуватися в ланцюжку зараження. В коди сторінок скомпрометованих сайтів вбудований сценарій, написаний на JavaScript, який перенаправляє користувачів на фішингову сторінку, що маскується під офіційний ресурс компанії Google.
Вибірка користувачів здійснюється на основі геолокації і визначення браузера користувача. Цільова аудиторія - відвідувачі з США, Канади, Австралії, Великобританії, Ізраїлю та Туреччини, що використовують браузер Google Chrome. Варто зауважити, що скачуваний файл має валідний цифровий підпис, аналогічний підпису фальшивого установника NordVPN, розповсюджуваного тією ж злочинною групою.
Механізм зараження реалізований наступним чином. При запуску програми в директорії% userappdata% створюється папка, що містить файли утиліти для віддаленого адміністрування TeamViewer, а також виконується розпакування двох захищених паролем SFX-архівів. В одному з архівів знаходиться шкідлива бібліотека msi.dll, що дозволяє встановити несанкціоноване з'єднання з зараженим комп'ютером, і пакетний файл для запуску браузера Chrome зі стартовою сторінкою Google [.] Com. З другого архіву витягується скрипт для обходу вбудованого антивірусного захисту OC Windows. Шкідлива бібліотека msi.dll завантажується в пам'ять процесом TeamViewer, попутно приховуючи від користувача його роботу.
За допомогою бекдора зловмисники отримують можливість доставляти на інфіковані пристрої корисне навантаження у вигляді шкідливих додатків. Серед них:
кейлоггер X-Key Keylogger,
Стілер Predator The Thief,
троян для віддаленого управління по протоколу RDP.
Всі згадані загрози успішно детектируются продуктами Dr.Web і не становлять небезпеки для наших користувачів. Фішингова сторінка з шкідливим вмістом додана в список небезпечних і не рекомендованих сайтів.
Найсвіжіші новини:
- СБУ оголосило про масштабний набір: відомо хто зможе потрапити до одного з кращих спецпідрозділів (ВІДЕО)
- Високогір'я Карпат приваблює не тільки туристів: закарпатські прикордонники полюють на любителів екстриму (ФОТО)
- Було гаряче: бійці 128-ї Закарпатської бригади влаштували феєричне вогняне шоу окупантам (ВІДЕО)
- Уже з 1 липня українців шокують європейські стандарти: відомо як подорожчає світло, бензин і алкоголь (ФОТО)