Маскирующийся под антивирус троян атакует поклонников ТВ-сериаловСпециалисты компании «Доктор Веб» обнаружили вредоносное ПО, атакующее поклонников российских сериалов. Что интересно, троян замаскирован под антивирусную утилиту от известного разработчика.
Вредонос, получивший название Trojan.BPLug.1041 (по классификации «Доктор Веб»), был обнаружен при переходе из результатов поиска Google на взломанную злоумышленниками web-страницу российского телеканала, посвященную одному из популярных отечественных телесериалов. Также выяснилось, что компрометации подверглось еще несколько посещаемых интернет-ресурсов, в том числе связанных с ТВ-шоу.
В случае, если пользователь переходит на инфицированный сайт с другого домена, вредоносный скрипт открывает на вкладке, откуда был осуществлен переход, страницу злоумышленников. Встроенный в код web-страницы специальный обработчик не позволяет закрыть данную вкладку. При нажатии клавиш или щелчке мышью на экране демонстрируется окно, предлагающее установку некоего расширение для браузера. При этом злоумышленники выдают данное расширение за решение, якобы разработанное известным производителем антивирусного ПО.
В процессе установки плагин требует у пользователя предоставить ему ряд специальных разрешений и после инсталляции отображается в списке установленных расширений Chrome под именем «Щит безопасности KIS».
Плагин содержит два обфусцированных JavaScript-файла. Основная задача трояна заключается в выполнении web-инъекций, то есть внедрении стороннего содержимого в просматриваемые пользователем web-страницы. При этом на всех сайтах вредоносная программа блокирует демонстрацию рекламы с любых доменов, кроме тех, список которых заложен в ее конфигурации.
За отображение рекламы отвечает отдельная функция, с помощью которой вредонос анализирует содержимое открытой пользователем страницы. Если ее контекст включает порнографический контент, из двух отдельных сетей загружается реклама соответствующей тематики. Кроме того, данное расширение содержит список ресурсов, на которых троян не показывает рекламу. Среди них порталы: fsb.ru, gov.ru, government.ru, mos.ru, gosuslugi.ru и ряд других.
Вредоносное ПО отправляет на сервер злоумышленников сведения о других расширениях Chrome, установленных на инфицированном компьютере. При этом сервер может указать трояну, какие расширения следует деактивировать.
Как отметили эксперты, в интернет-магазине Chrome имеются целых три расширения с именем «Щит безопасности KIS», созданных одним и тем же автором. Два из них по различным причинам нефункциональны. В настоящее время общее число загрузок всех трех плагинов превышает 30 тысяч.
http://www.securitylab.ru/news/475748.php
