Эксперты "Лаборатории Касперского" получили спам-сообщение на португальском языке, в котором говорится, что "наконец-то приложение WhatsApp стало доступно на ПК, и что у получателя уже есть 11 приглашений от друзей в его учетной записи".
Если пользователь нажмет на ссылку в письме для скачивания приложения, то попадет на взломанный сервер, расположенный в Турции, а затем его перенаправят на облачный сервис Hightail (бывший Yousendit), где ему будет предложено скачать троянец, который в системе выглядит как 64-битный инсталляционный файл для скачивания. На самом деле, отмечают эксперты, это стандартное 32-битное приложение, которое удовлетворительно (по шкале VirusTotal) распознаётся антивирусными продуктами.
После запуска приложения оно загружает на ПК пользователя нового банковского троянца. Этот зловред скачивается с сервера в Бразилии и плохо распознаётся антивирусами — 3 из 49 по шкале VirusTotal. Иконка троянца делает его похожим на MP3-файл, поэтому многие пользователи могут кликнуть по ней, тем более что файл весит 2,5 Мб.
Чтобы затруднить анализ вредоносной программы, в новый троянец включены некоторые противоотладочные функции, а сама программа написана на языке Delphi, отмечается в сообщении.
После запуска троянец отправляет отчет в принадлежащую киберпреступникам консоль статистики заражений. Украденная информация пересылается через локальный порт 1157, когда он открыт. Кроме того, зловред загружает на компьютер другое вредоносное программное обеспечение.
Читайте актуальные новости и аналитические статьи в Telegram-канале «Vzglyad.az» https://t.me/Vzqlyad
Тэги: