Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Trojan udaje narzędzie antywirusowe

19 października 2015

Fani telewizyjnych seriali często interesują się wiadomościami o swoich ulubionych bohaterach i aktorach. Cyberprzestępcy dystrybuujący złośliwe programy czasami wykorzystują to zainteresowanie do własnych celów. Analitycy bezpieczeństwa Doctor Web wykryli trojana, który między innymi został wymierzony w fanów jednego z popularnych rosyjskich seriali. Ten złośliwy program przestawia się jako narzędzie antywirusowe stworzone przez dobrze znanego dewelopera.

Trojan nazwany Trojan.BPLug.1041 został znaleziony w wynikach wyszukiwarki Google, prowadzących do zhakowanej strony www jednego z rosyjskich kanałów TV, dedykowanej jednemu z popularnych rosyjskich seriali. Później okazało się, że kilka innych zasobów internetowych, powiązanych z telewizyjnymi programami rozrywkowymi, również uległo podobnym atakom. Jeśli użytkownik trafi na zainfekowaną stronę www z innej domeny i spełni kilka warunków (posiada komputer pracujący pod kontrolą 32-bitowej wersji Windows lub OS X działającego na architekturze Intela, z dowolną przeglądarką oprócz Opery), to złośliwy skrypt otworzy stronę cyberprzestępców w zakładce, z której użytkownik dostał się na tą stronę. Specjalny program wbudowany w kod tej strony nie pozwala na zamknięcie tej zakładki. Jeśli użytkownik naciśnie klawisz lub kliknie myszką, ów program wyświetli na ekranie okno, oferujące możliwość zainstalowania rozszerzenia przeglądarki. Dodatkowo, cyberprzestępcy dystrybuują to rozszerzenie jako narzędzie, rzekomo stworzone przez dobrze znanego dewelopera oprogramowania antywirusowego.

screen Trojan.BPLug.1041 #drweb

screen Trojan.BPLug.1041 #drweb

screen Trojan.BPLug.1041 #drweb

Podczas instalacji wtyczka wymaga spełnienia listy konkretnych uprawnień. Po instalacji zostaje wyświetlona na liście zainstalowanych rozszerzeń Chrome pod nazwą “Щит безопасности KIS” (Strażnik Bezpieczeństwa KIS).

screen Trojan.BPLug.1041 #drweb

screen Trojan.BPLug.1041 #drweb

Wtyczka wykryta przez Antywirusa Dr.Web jako Trojan.BPLug.1041 zawiera dwa zamaskowane pliki JavaScript. Głównym celem trojana jest wstrzykiwanie samodzielnego kodu w strony www pobierane przez użytkownika. Na wszystkich stronach www ten złośliwy program blokuje wyświetlanie obcych reklam pochodzących ze wszystkich domen, za wyjątkiem wymienionych w konfiguracji wirusa.

Oddzielna funkcja jest odpowiedzialna za wyświetlanie reklam. Z pomocą tej funkcji trojan analizuje zawartość strony www otwartej przez użytkownika. Jeśli jej kontekst zawiera treści pornograficzne, Trojan.BPLug.1041 ładuje z dwóch odrębnych sieci odpowiadającą im reklamę. To rozszerzenie zawiera również listę stron www, na których trojan nie wyświetla reklam. Na tej liście znajdują się takie strony jak: fsb.ru, gov.ru, government.ru, mos.ru, gosuslugi.ru. Trojan.BPLug.1041 wysyła na serwer cyberprzestępców ID użytkownika i dane o innych rozszerzeniach Chrome zainstalowanych na zainfekowanym komputerze. Podczas wysyłania danych, serwer może określić trojanowi, które z tych rozszerzeń powinny być wyłączone.

Jeśli użytkownik zaloguje się do sieci społecznościowej “Odnoklassniki”, Trojan.BPLug.1041 próbuje zapewnić pewnej aplikacji dostęp do API tej sieci społecznościowej, korzystając z nazwy logowania użytkownika i autoryzacji z użyciem protokołu OAuth. Podczas tego procesu, wymagane są uprawnienia do zmiany statusu, przeglądania, edycji i ładowania zdjęć, przeglądania i wysyłania wiadomości w imieniu użytkownika i paru innych operacji. Można przypuszczać, że ta funkcja jest wykorzystywana przez cyberprzestępców do celów reklamowych, np. do promowania grup, wysyłania wiadomości typu spam, oddziaływania na wyniki głosowań lub ankiet.

screen Trojan.BPLug.1041 #drweb

Warto zauważyć, że w sklepie online z rozszerzeniami do Chrome są dostępne trzy rozszerzenia o nazwie “Щит безопасности KIS”. Te wszystkie rozszerzenia są stworzone przez tego samego autora, jakkolwiek dwa z nich nie działają prawidłowo. Całkowita liczba przeprowadzonych instalacji tych wtyczek wynosi 30 tysięcy.

Analitycy bezpieczeństwa Doctor Web ostrzegają użytkowników przed pobieraniem i instalowaniem podejrzanych rozszerzeń otrzymywanych z niepewnych źródeł. Jeśli nie możesz zamknąć zakładki wyświetlającej się w przeglądarce, możesz otworzyć Menedżera Zadań dostępnego w menu Google Chrome i zakończyć pracę odpowiedniego procesu przeglądarki. Sygnatura Trojan.BPLug.1041 została dodana do bazy wirusów Dr.Web, a strony www, z których ten trojan był dystrybuowany zostały dodane do listy stron niezalecanych do odwiedzania. Administratorzy zhakowanych stron www zostali niezwłocznie ostrzeżeni o tym incydencie.

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses
Doctor Web has been developing anti-virus software since 1992
Dr.Web is trusted by users around the world in 200+ countries
The company has delivered an anti-virus as a service since 2007
24/7 tech support

Dr.Web © Doctor Web
2003 — 2020

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A