Новый троян приходит под видом сообщения от сервиса Amazon, чтобы узнать ваши финан­совые данные

Международная антиви­русная компания ESET преду­пре­ждает о росте актив­ности троянской программы Win32/Bayrob.

Распространение Bayrob осуществ­ляется класси­ческим для этого вида ПО способом – в электронной рассылке. Письмо-приманка замас­ки­ровано под офици­альное сообщение сервиса Amazon. 

После запуска вредо­носная программа выводит на экран сообщение об ошибке, чтобы убедить пользо­вателя в ее безопас­ности. На самом деле, Bayrob уже действует и исполь­зуется атаку­ющими в качестве бэкдора.

Основная цель опера­торов Bayrob – сбор данных для получения финан­совой выгоды: сведений о банковских картах, паролей и логинов от онлайн-банкинга. Чтобы получить эту инфор­мацию, троян обращается к удаленному серверу, загружает другие вредо­носные программы, запускает испол­няемые файлы и отправляет собранные данные злоумышленникам.

Для контакта с удаленным сервером Bayrob генерирует различные URL-адреса, помимо исполь­зу­емого. Один из URL, обнару­женных специ­а­ли­стами ESET, зареги­стри­рован японским предста­ви­тель­ством Amazon. Вероятно, атакующие управляют зараженными ПК при помощи сервера, входящего в состав инфра­структуры Amazon Web Services. Это не означает, что скомпро­ме­ти­рована вся инфра­структура Amazon – сервер мог быть арендован офици­ально третьими лицами.

Первые модифи­кации Bayrob обнаружены еще в 2007 году. С конца 2015 года троян активно исполь­зуется в атаках на пользо­ва­телей стран Европы, Южной Африки, Австралии и Новой Зеландии. В январе большинство заражений прихо­дилось на Испанию, Австрию, Германию и Италию.

Специалисты ESET обнаружили несколько образцов писем с вредо­носными прило­же­ниями, написанных на разных языках. Вероятно, злоумыш­ленники регулярно перена­це­ливают кампанию на пользо­ва­телей из новых, еще не охваченных кибер­атакой стран.

Эксперты ESET рекомендуют игнори­ровать подозри­тельные письма от неизвестных отправителей.

Поделиться: