Перейти к содержимому


Фото
- - - - -

Опасный троянец распространяется через копию сайта федеральной службы судебных приставов России


  • Please log in to reply
Нет ответов в данной теме

#1 News Robot

News Robot

    Creator of the News

  • Dr.Web Staff
  • 7 179 Сообщений:

Отправлено 04 Октябрь 2019 - 13:41

4 октября 2019 года

Специалисты вирусной лаборатории «Доктор Веб» обнаружили вредоносную копию сайта федеральной службы судебных приставов (ФССП) России. Хакеры используют сайт-подделку для заражения пользователей троянцем Trojan.DownLoader28.58809.

Копия сайта ФССП России была обнаружена нашими специалистами по адресу 199.247.11.123. Внешне подделка почти не отличается от оригинала, но, в отличие от официального сайта, на ней некорректно отображаются некоторые элементы.

#drweb

#drweb

При попытке перейти по некоторым ссылкам на сайте, пользователь будет перенаправлен на страницу с предупреждением о необходимости обновить Adobe Flash Player. Одновременно с этим на устройство пользователя загрузится .exe файл, при запуске которого будет установлен Trojan.DownLoader28.58809.

Этот троянец устанавливается в автозагрузку в системе пользователя, соединяется с управляющим сервером и скачивает другой вредоносный модуль – Trojan.Siggen8.50183. Кроме этого, на устройство пользователя скачивается файл, имеющий действительную цифровую подпись Microsoft и предназначенный для запуска основной вредоносной библиотеки. После чего Trojan.Siggen8.50183 собирает информацию о системе пользователя и отправляет ее на управляющий сервер. После установки троянец будет всегда запущен на устройстве пользователя и сможет выполнять различные действия по команде от управляющего сервера.

Запустившись на устройстве жертвы, троянец может:

  • получить информацию о дисках;
  • получить информацию о файле;
  • получить информацию о папке (узнать количество файлов, вложенных папок и их размер);
  • получить список файлов в папке;
  • удалить файлы;
  • создать папку;
  • переместить файл;
  • запустить процесс;
  • остановить процесс;
  • получить список процессов.

Согласно нашим данным, хакеры еще не запускали масштабные вирусные кампании с использованием сайта-подделки, но он мог использоваться в атаках на отдельных пользователей или организации.

Все версии этого троянца успешно детектируются и удаляются антивирусом Dr.Web и не представляют опасности для наших пользователей.

Индикаторы компрометации


Читать оригинал


Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых