Злоумышленники распространяют банковского троянца под видом установки мобильного мессенджера WhatsApp на персональный компьютер пользователя, говорится в блоге российской компании «Лаборатория Касперского».
Согласно сообщению, злоумышленники организовали новую спам-рассылку писем по электронной почте, в которых говорится, что мобильный мессенджер WhatsApp теперь можно установить на ПК пользователя, однако тот, кто пытается установить это приложение, на самом деле скачивает себе на ПК банковского трояна.
Эксперты «Лаборатории Касперского» получили спам-сообщение на португальском языке, в котором говорится, что «наконец-то приложение WhatsApp стало доступно на ПК, и что у получателя уже есть 11 приглашений от друзей в его учетной записи». Если пользователь нажмет на ссылку в письме для скачивания приложения, то попадет на взломанный сервер, расположенный в Турции, а затем его перенаправят на облачный сервис Hightail (бывший Yousendit), где ему будет предложено скачать троянец, который в системе выглядит как 64-битный инсталляционный файл для скачивания.
На самом деле, отмечают эксперты, это стандартное 32-битное приложение, которое удовлетворительно (по шкале VirusTotal) распознаётся антивирусными продуктами. После запуска приложения оно загружает на ПК пользователя нового банковского троянца. Этот зловред скачивается с сервера в Бразилии и плохо распознаётся антивирусами — 3 из 49 по шкале VirusTotal. Иконка троянца делает его похожим на MP3-файл, поэтому многие пользователи могут кликнуть по ней, тем более что файл весит 2,5 Мб. Чтобы затруднить анализ вредоносной программы, в новый троянец включены некоторые противоотладочные функции, а сама программа написана на языке Delphi, отмечается в сообщении.
После запуска троянец отправляет отчет в принадлежащую киберпреступникам консоль статистики заражений. Украденная информация пересылается через локальный порт 1157, когда он открыт. Кроме того, зловред загружает на компьютер другое вредоносное программное обеспечение.
Комментарии
Loading…