Опасный бэкдор распространяется под видом обновления для браузера Chrome.

Аналитики «Доктор Веб» сообщают о компрометации ряда сайтов – от новостных блогов до корпоративных ресурсов, – созданных на CMS WordPress. JavaScript-сценарий, встроенный в код взломанных страниц, перенаправляет посетителей на фишинговую страницу, где пользователям предлагается установить важное обновление безопасности для браузера Chrome. Загружаемый файл представляет собой установщик вредоносного ПО, которое позволяет злоумышленникам дистанционно управлять инфицированными компьютерами. На данный момент «обновление» скачали более 2000 человек.

По данным вирусной лаборатории «Доктор Веб», за атакой стоит группа злоумышленников, ранее причастная к распространению поддельного установщика популярного видеоредактора VSDC, как через официальный сайт программы, так и с помощью сторонних каталогов. На этот раз хакерам удалось получить административный доступ к CMS ряда сайтов, которые стали использоваться в цепочке заражения. В коды страниц скомпрометированных сайтов встроен сценарий, написанный на JavaScript, который перенаправляет пользователей на фишинговую страницу, маскирующуюся под официальный ресурс компании Google.

Выборка пользователей осуществляется на основе геолокации и определения браузера пользователя. Целевая аудитория – посетители из США, Канады, Австралии, Великобритании, Израиля и Турции, использующие браузер Google Chrome. Стоит заметить, что скачиваемый файл имеет валидную цифровую подпись, аналогичную подписи фальшивого установщика NordVPN, распространяемого той же преступной группой.

Механизм заражения реализован следующим образом. При запуске программы в директории%userappdata% создается папка, содержащая файлы утилиты для удаленного администрирования TeamViewer, а также выполняется распаковка двух защищенных паролем SFX-архивов. В одном из архивов находится вредоносная библиотека msi.dll, позволяющая установить несанкционированное соединение с зараженным компьютером, и пакетный файл для запуска браузера Chrome со стартовой страницей Google[.]com. Из второго архива извлекается скрипт для обхода встроенной антивирусной защиты OC Windows. Вредоносная библиотека msi.dll загружается в память процессом TeamViewer, попутно скрывая от пользователя его работу.

С помощью бэкдора злоумышленники получают возможность доставлять на инфицированные устройства полезную нагрузку в виде вредоносных приложений. Среди них:

-кейлоггер X-Key Keylogger;
-стилер Predator The Thief;
-троян для удаленного управления по протоколу RDP.

Новости по теме

В Skype появилась новая функция

Skype запустил удобную возможность видеообщения Meet Now: создавать чаты или присоединяться к ним можно без учётной записи в приложении, сообщает TechRadar.

1

Евровидение-2020: организаторы хотят провести конкурс онлайн.

Организаторы отмененного из-за COVID-19 "Евровидения-2020" объявили специальный онлайн-концерт. Вместо традиционного шоу состоится онлайн-концерт Eurovision: Europe Shine A Light. Об этом сообщается на официальном сайте песенного конкурса.

1

Платформа для видеоконференций Zoom станет безопаснее с 5 апреля.

Сервис для видеоконференций Zoom в ближайшее время получит две функции по усилению безопасности и конфиденциальности.

1

Новая тема Dancow для MIUI 11 удивила всех фанов

Вчера в официальном магазине появилась новая светлая тема от дизайнера Xhaka Ciruas. Тема сделана в стиле неоморфизм, что является большой редкостью в Темах и я даже сказала бы, что делают их в основном умельцы для себя.

1

Энтузиасты показали, как Half-Life изменилась за 22 года.

Недавно Valve выпустила первую игру в серии Half-Life за долгое время — обласканный прессой экшен в виртуальной реальности с подзаголовком Alyx.

2

Продолжая просматривать Новости технологий (UAZMI), вы подтверждаете, что ознакомились с Правилами пользования сайтом, и соглашаетесь на использование файлов cookie