Специалисты вирусной лаборатории «Доктор Веб» обнаружили вредоносную копию сайта федеральной службы судебных приставов (ФССП) России. Хакеры используют сайт-подделку для заражения пользователей троянцем Trojan.DownLoader28.58809.
Копия сайта ФССП России была обнаружена нашими специалистами по адресу 199.247.11.123. Внешне подделка почти не отличается от оригинала, но, в отличие от официального сайта, на ней некорректно отображаются отдельные элементы.
При попытке перейти по некоторым ссылкам на сайте, пользователь будет перенаправлен на страницу с предупреждением о необходимости обновить Adobe Flash Player. Одновременно с этим на устройство пользователя загрузится .exe файл, при запуске которого будет установлен Trojan.DownLoader28.58809.
Этот троянец устанавливается в автозагрузку в системе пользователя, соединяется с управляющим сервером и скачивает другой вредоносный модуль – Trojan.Siggen8.50183. Кроме этого, на устройство пользователя скачивается файл, имеющий действительную цифровую подпись Microsoft и предназначенный для запуска основной вредоносной библиотеки. После чего Trojan.Siggen8.50183 собирает информацию о системе пользователя и отправляет ее на управляющий сервер. После установки троянец будет всегда запущен на устройстве пользователя и сможет выполнять различные действия по команде от управляющего сервера.
Запустившись на устройстве жертвы, троянец может:
- получить информацию о дисках;
- получить информацию о файле;
- получить информацию о папке (узнать количество файлов, вложенных папок и их размер);
- получить список файлов в папке;
- удалить файлы;
- создать папку;
- переместить файл;
- запустить процесс;
- остановить процесс;
- получить список процессов.
Согласно нашим данным, хакеры еще не запускали масштабные вирусные кампании с использованием сайта-подделки, но он мог использоваться в атаках на отдельных пользователей или организации.
Индикаторы компрометации
Комментарии (10)
Petrenko2001
04.10.2019 17:11пока сам себя на загониш, как и с фишингом то профита для взломщиков ноль. Для людей с минимальным понимаем о защите устройств.
Victor_koly
Хром не дал скачать файл:)
ligor
Небось с мотивировкой, мол файл редко скачивается а потому может быть вредным? :)
Victor_koly
Не смог уже найти, где предлагал скачать.