Троян распространяется через фейковый сайт Федеральной службы судебных приставов

0
24

Специалисты «Доктор Веб» обнаружили вредоносную копию сайта Федеральной службы судебных приставов (ФССП) России. Хакеры используют сайт-подделку для заражения пользователей трояном Trojan.DownLoader28.58809.

Внешне подделка, обнаруженная исследователями, почти не отличается от оригинала, но, в отличие от официального сайта, на ней все же некорректно отображаются некоторые элементы.

При попытке перейти по некоторым ссылкам на сайте, пользователь будет перенаправлен на страницу с предупреждением о необходимости обновить Adobe Flash Player. Одновременно с этим на устройство пользователя загрузится .exe файл, при запуске которого будет установлен Trojan.DownLoader28.58809.

Этот троян устанавливается в автозагрузку, соединяется с управляющим сервером и скачивает другой вредоносный модуль – Trojan.Siggen8.50183. Кроме этого, на устройство пользователя скачивается файл, имеющий действительную цифровую подпись Microsoft и предназначенный для запуска основной вредоносной библиотеки. После этого малварь собирает информацию о системе пользователя и отправляет ее на свой управляющий сервер. После установки троян будет всегда запущен на устройстве пользователя и сможет выполнять различные действия по команде от управляющего сервера. Так, троян может:

  • получить информацию о дисках;
  • получить информацию о файле;
  • получить информацию о папке (узнать количество файлов, вложенных папок и их размер);
  • получить список файлов в папке;
  • удалить файлы;
  • создать папку;
  • переместить файл;
  • запустить процесс;
  • остановить процесс;
  • получить список процессов.

По данным исследователей, хакеры еще не запускали масштабные вредоносные кампании с использованием этого сайта-подделки, однако он мог применяться в атаках на отдельных пользователей или организации.

Индикаторы компрометации уже были опубликованы на GitHub.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here

+ 27 = 28