image

Специалисты вирусной лаборатории «Доктор Веб» обнаружили вредоносную копию сайта федеральной службы судебных приставов (ФССП) России. Хакеры используют сайт-подделку для заражения пользователей троянцем Trojan.DownLoader28.58809.

Копия сайта ФССП России была обнаружена нашими специалистами по адресу 199.247.11.123. Внешне подделка почти не отличается от оригинала, но, в отличие от официального сайта, на ней некорректно отображаются отдельные элементы.

При попытке перейти по некоторым ссылкам на сайте, пользователь будет перенаправлен на страницу с предупреждением о необходимости обновить Adobe Flash Player. Одновременно с этим на устройство пользователя загрузится .exe файл, при запуске которого будет установлен Trojan.DownLoader28.58809.

image

Этот троянец устанавливается в автозагрузку в системе пользователя, соединяется с управляющим сервером и скачивает другой вредоносный модуль – Trojan.Siggen8.50183. Кроме этого, на устройство пользователя скачивается файл, имеющий действительную цифровую подпись Microsoft и предназначенный для запуска основной вредоносной библиотеки. После чего Trojan.Siggen8.50183 собирает информацию о системе пользователя и отправляет ее на управляющий сервер. После установки троянец будет всегда запущен на устройстве пользователя и сможет выполнять различные действия по команде от управляющего сервера.

Запустившись на устройстве жертвы, троянец может:

  • получить информацию о дисках;
  • получить информацию о файле;
  • получить информацию о папке (узнать количество файлов, вложенных папок и их размер);
  • получить список файлов в папке;
  • удалить файлы;
  • создать папку;
  • переместить файл;
  • запустить процесс;
  • остановить процесс;
  • получить список процессов.

Согласно нашим данным, хакеры еще не запускали масштабные вирусные кампании с использованием сайта-подделки, но он мог использоваться в атаках на отдельных пользователей или организации.

Индикаторы компрометации

Комментарии (10)


  1. Victor_koly
    04.10.2019 14:41

    Хром не дал скачать файл:)


    1. ligor
      04.10.2019 15:04

      Небось с мотивировкой, мол файл редко скачивается а потому может быть вредным? :)


      1. Victor_koly
        04.10.2019 15:40

        Не смог уже найти, где предлагал скачать.


  1. staticmain
    04.10.2019 16:06

    Flashplaer


    Школота делала.


  1. MedicusAmicus
    04.10.2019 16:24

    Кто-то еще покупается на подобные заголовки с кучей ошибок?


    1. ZaEzzz
      04.10.2019 21:09

      Как показывает практика, много кто.


  1. alex1478
    04.10.2019 17:10

    Какой кривой текст, я бы в 5 классе лучше написал.


    1. Umpiro
      05.10.2019 14:55

      Согласитесь, так легче поверить, что сообщение писал госчиновник.


  1. Petrenko2001
    04.10.2019 17:11

    пока сам себя на загониш, как и с фишингом то профита для взломщиков ноль. Для людей с минимальным понимаем о защите устройств.


    1. MedicusAmicus
      05.10.2019 20:29

      Что, простите?