Взлом популярных веб-сайтов, маскирующийся под антивирусную утилиту троянец и другие события октября 2015 года

30.10.2015 |

Александр Абрамов.

Компания «Доктор Веб» представляет обзор вирусной активности в октябре 2015 года. Второй осенний месяц ознаменовался появлением ряда новых вредоносных программ, угрожающих пользователям как настольных, так и мобильных системных платформ.

С точки зрения появления новых угроз информационной безопасности октябрь можно назвать относительно спокойным периодом. Тем не менее, в течение месяца был зафиксирован факт взлома нескольких популярных интернет-ресурсов: с их помощью злоумышленники распространяли опасную вредоносную программу, маскирующуюся под антивирусную утилиту известного производителя. Кроме того, в октябре появились и новые троянцы, угрожающие пользователям мобильной платформы Google Android, — в частности, к таковым относится Android.BankBot.80.origin, маскировавшийся под банковское приложение крупной российской финансовой организации, а также для платформы iOS — здесь «отличился» троянец IPhoneOS.Trojan.YiSpecter.2, предназначенный для показа рекламы и незаметной загрузки других программ.

Главные тенденции октября:

- Взлом злоумышленниками сайтов с целью распространения вредоносного ПО
- Появление нового троянца, способного выполнять веб-инжекты
- Распространение новых вредоносных программ для Google Android
- Угроза месяца

В середине октября специалисты компании «Доктор Веб» зафиксировали несколько случаев взлома популярных веб-сайтов, среди которых оказалась страничка известного российского телесериала, принадлежащая одной из телекомпаний. В процессе перехода из результатов поиска Google на взломанную злоумышленниками веб-страницу при соблюдении ряда условий в окне браузера открывалась новая вкладка, которую было невозможно закрыть, — сделать это не позволял встроенный злоумышленниками в страницу сценарий. По щелчку мыши или при нажатии клавиш на клавиатуре компьютера потенциальной жертве демонстрировалось назойливое окно, предлагающее установить некое расширение для браузера, которое киберпреступники выдавали за утилиту, якобы созданную одним из производителей антивирусного ПО.

Данный плагин, детектируемый Антивирусом Dr.Web как Trojan.BPLug.1041, предназначен для встраивания постороннего содержимого в просматриваемые пользователем веб-страницы. Также вредоносная программа блокирует на всех сайтах демонстрацию сторонней рекламы с любых доменов, кроме тех, список которых предусмотрен в ее конфигурации. Помимо этого, Trojan.BPLug.1041 в случае авторизации жертвы в социальной сети «Одноклассники» пытается предоставить определенному приложению доступ к API этого портала от имени пользователя: его личные данные могут быть использованы для продвижения групп, рассылки спама или каких-либо голосований.