Опасный троянец распространяется через копию сайта Федеральной службы судебных приставов России

Пятница, 04 Октября 2019 г. 15:56 + в цитатник

4 октября 2019 года

Специалисты вирусной лаборатории «Доктор Веб» обнаружили вредоносную копию сайта Федеральной службы судебных приставов (ФССП) России. Хакеры используют сайт-подделку для заражения пользователей троянцем Trojan.DownLoader28.58809.

Копия сайта ФССП России была обнаружена нашими специалистами по адресу 199.247.***.***. Внешне подделка почти не отличается от оригинала, но, в отличие от официального сайта, на ней некорректно отображаются некоторые элементы.

При попытке перейти по некоторым ссылкам на сайте, пользователь будет перенаправлен на страницу с предупреждением о необходимости обновить Adobe Flash Player. Одновременно с этим на устройство пользователя загрузится .exe файл, при запуске которого будет установлен Trojan.DownLoader28.58809.

Этот троянец устанавливается в автозагрузку в системе пользователя, соединяется с управляющим сервером и скачивает другой вредоносный модуль – Trojan.Siggen8.50183. Кроме этого, на устройство пользователя скачивается файл, имеющий действительную цифровую подпись Microsoft и предназначенный для запуска основной вредоносной библиотеки. После чего Trojan.Siggen8.50183 собирает информацию о системе пользователя и отправляет ее на управляющий сервер. После установки троянец будет всегда запущен на устройстве пользователя и сможет выполнять различные действия по команде от управляющего сервера.

Запустившись на устройстве жертвы, троянец может:

получить информацию о дисках;
получить информацию о файле;
получить информацию о папке (узнать количество файлов, вложенных папок и их размер);
получить список файлов в папке;
удалить файлы;
создать папку;
переместить файл;
запустить процесс;
остановить процесс;
получить список процессов.

Согласно нашим данным, хакеры еще не запускали масштабные вирусные кампании с использованием сайта-подделки, но он мог использоваться в атаках на отдельных пользователей или организации.

Все версии этого троянца успешно детектируются и удаляются антивирусом Dr.Web и не представляют опасности для наших пользователей.

Индикаторы компрометации

https://news.drweb.ru/show/?i=13453&lng=ru&c=9

<a href="https://www.liveinternet.ru/users/rss_drweb_about_virs/post461236981/">РћРїР°СЃРЅС‹Р№ С‚СЂРѕСЏРЅРµС† СЂР°СЃРїСЂРѕСЃС‚СЂР°РЅСЏРµС‚СЃСЏ С‡РµСЂРµР· РєРѕРїРёСЋ СЃР°Р№С‚Р° Р¤РµРґРµСЂР°Р»СЊРЅРѕР№ СЃР»СѓР¶Р±С‹ СЃСѓРґРµР±РЅС‹С… РїСЂРёСЃС‚Р°РІРѕРІ Р РѕСЃСЃРёРё</a><br/>4 РѕРєС‚СЏР±СЂСЏ 2019 РіРѕРґР°
РЎРїРµС†РёР°Р»РёСЃС‚С‹ РІРёСЂСѓСЃРЅРѕР№ Р»Р°Р±РѕСЂР°С‚РѕСЂРёРё В«Р”РѕРєС‚РѕСЂ Р’РµР±В» РѕР±РЅР°СЂСѓР¶РёР»Рё РІСЂРµРґРѕРЅРѕСЃРЅСѓСЋ РєРѕРїРёСЋ СЃР°Р№С‚Р° Р¤РµРґРµСЂР°Р»СЊРЅРѕР№ СЃР»СѓР¶Р±С‹ СЃСѓРґРµР±РЅС‹С… РїСЂРёСЃС‚Р°РІРѕРІ (Р¤РЎРЎРџ) Р РѕСЃСЃРёРё. РҐР°РєРµСЂС‹ РёСЃРїРѕР»СЊР·СѓСЋС‚ СЃР°Р№С‚-РїРѕРґРґРµР»РєСѓ РґР»СЏ Р·Р°СЂР°Р¶РµРЅРёСЏ РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№ С‚СЂРѕСЏРЅС†РµРј Trojan.DownLoader28.58809.
РљРѕРїРёСЏ СЃР°Р№С‚Р° Р¤РЎРЎРџ Р РѕСЃСЃРёРё Р±С‹Р»Р° РѕР±РЅР°СЂСѓР¶РµРЅР° РЅР°С€РёРјРё СЃРїРµС†РёР°Р»РёСЃС‚Р°РјРё РїРѕ Р°РґСЂРµСЃСѓ 199.247.***.***. Р’РЅРµС€РЅРµ РїРѕРґРґРµР»РєР° РїРѕС‡С‚Рё РЅРµ РѕС‚Р»РёС‡Р°РµС‚СЃСЏ РѕС‚ РѕСЂРёРіРёРЅР°Р»Р°, РЅРѕ, РІ РѕС‚Р»РёС‡РёРµ РѕС‚ РѕС„РёС†РёР°Р»СЊРЅРѕРіРѕ СЃР°Р№С‚Р°, РЅР° РЅРµР№ РЅРµРєРѕСЂСЂРµРєС‚РЅРѕ РѕС‚РѕР±СЂР°Р¶Р°СЋС‚СЃСЏ РЅРµРєРѕС‚РѕСЂС‹Рµ СЌР»РµРјРµРЅС‚С‹.

РџСЂРё РїРѕРїС‹С‚РєРµ РїРµСЂРµР№С‚Рё РїРѕ РЅРµРєРѕС‚РѕСЂС‹Рј СЃСЃС‹Р»РєР°Рј РЅР° СЃР°Р№С‚Рµ, РїРѕР»СЊР·РѕРІР°С‚РµР»СЊ Р±СѓРґРµС‚ РїРµСЂРµРЅР°РїСЂР°РІР»РµРЅ РЅР° СЃС‚СЂР°РЅРёС†Сѓ СЃ РїСЂРµРґСѓРїСЂРµР¶РґРµРЅРёРµРј... <a href="https://www.liveinternet.ru/users/rss_drweb_about_virs/post461236981/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

Комментировать

« Пред. запись — К дневнику — След. запись »

Страницы: [1] [Новые]

LiveInternetLiveInternet

-Поиск по дневнику

-Подписка по e-mail

-Постоянные читатели

-Статистика

Опасный троянец распространяется через копию сайта Федеральной службы судебных приставов России