19 października 2015
Trojan nazwany Trojan.BPLug.1041 został znaleziony w wynikach wyszukiwarki Google, prowadzących do zhakowanej strony www jednego z rosyjskich kanałów TV, dedykowanej jednemu z popularnych rosyjskich seriali. Później okazało się, że kilka innych zasobów internetowych, powiązanych z telewizyjnymi programami rozrywkowymi, również uległo podobnym atakom. Jeśli użytkownik trafi na zainfekowaną stronę www z innej domeny i spełni kilka warunków (posiada komputer pracujący pod kontrolą 32-bitowej wersji Windows lub OS X działającego na architekturze Intela, z dowolną przeglądarką oprócz Opery), to złośliwy skrypt otworzy stronę cyberprzestępców w zakładce, z której użytkownik dostał się na tą stronę. Specjalny program wbudowany w kod tej strony nie pozwala na zamknięcie tej zakładki. Jeśli użytkownik naciśnie klawisz lub kliknie myszką, ów program wyświetli na ekranie okno, oferujące możliwość zainstalowania rozszerzenia przeglądarki. Dodatkowo, cyberprzestępcy dystrybuują to rozszerzenie jako narzędzie, rzekomo stworzone przez dobrze znanego dewelopera oprogramowania antywirusowego.
Podczas instalacji wtyczka wymaga spełnienia listy konkretnych uprawnień. Po instalacji zostaje wyświetlona na liście zainstalowanych rozszerzeń Chrome pod nazwą “Щит безопасности KIS” (Strażnik Bezpieczeństwa KIS).
Wtyczka wykryta przez Antywirusa Dr.Web jako Trojan.BPLug.1041 zawiera dwa zamaskowane pliki JavaScript. Głównym celem trojana jest wstrzykiwanie samodzielnego kodu w strony www pobierane przez użytkownika. Na wszystkich stronach www ten złośliwy program blokuje wyświetlanie obcych reklam pochodzących ze wszystkich domen, za wyjątkiem wymienionych w konfiguracji wirusa.
Oddzielna funkcja jest odpowiedzialna za wyświetlanie reklam. Z pomocą tej funkcji trojan analizuje zawartość strony www otwartej przez użytkownika. Jeśli jej kontekst zawiera treści pornograficzne, Trojan.BPLug.1041 ładuje z dwóch odrębnych sieci odpowiadającą im reklamę. To rozszerzenie zawiera również listę stron www, na których trojan nie wyświetla reklam. Na tej liście znajdują się takie strony jak: fsb.ru, gov.ru, government.ru, mos.ru, gosuslugi.ru. Trojan.BPLug.1041 wysyła na serwer cyberprzestępców ID użytkownika i dane o innych rozszerzeniach Chrome zainstalowanych na zainfekowanym komputerze. Podczas wysyłania danych, serwer może określić trojanowi, które z tych rozszerzeń powinny być wyłączone.
Jeśli użytkownik zaloguje się do sieci społecznościowej “Odnoklassniki”, Trojan.BPLug.1041 próbuje zapewnić pewnej aplikacji dostęp do API tej sieci społecznościowej, korzystając z nazwy logowania użytkownika i autoryzacji z użyciem protokołu OAuth. Podczas tego procesu, wymagane są uprawnienia do zmiany statusu, przeglądania, edycji i ładowania zdjęć, przeglądania i wysyłania wiadomości w imieniu użytkownika i paru innych operacji. Można przypuszczać, że ta funkcja jest wykorzystywana przez cyberprzestępców do celów reklamowych, np. do promowania grup, wysyłania wiadomości typu spam, oddziaływania na wyniki głosowań lub ankiet.
Warto zauważyć, że w sklepie online z rozszerzeniami do Chrome są dostępne trzy rozszerzenia o nazwie “Щит безопасности KIS”. Te wszystkie rozszerzenia są stworzone przez tego samego autora, jakkolwiek dwa z nich nie działają prawidłowo. Całkowita liczba przeprowadzonych instalacji tych wtyczek wynosi 30 tysięcy.
Analitycy bezpieczeństwa Doctor Web ostrzegają użytkowników przed pobieraniem i instalowaniem podejrzanych rozszerzeń otrzymywanych z niepewnych źródeł. Jeśli nie możesz zamknąć zakładki wyświetlającej się w przeglądarce, możesz otworzyć Menedżera Zadań dostępnego w menu Google Chrome i zakończyć pracę odpowiedniego procesu przeglądarki. Sygnatura Trojan.BPLug.1041 została dodana do bazy wirusów Dr.Web, a strony www, z których ten trojan był dystrybuowany zostały dodane do listy stron niezalecanych do odwiedzania. Administratorzy zhakowanych stron www zostali niezwłocznie ostrzeżeni o tym incydencie.
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments