«Доктор Веб»: Троян сообщает жертвам о блокировке доступа к соцсетям

Как сообщили эксперты компании «Доктор Веб», к ним начали поступать жалобы от интернет-пользователей по поводу того, что они потеряли возможность авторизоваться в своих учетных записях в социальных сетях.

При попытке зайти на сайт, в окне браузера отображается сообщение о том, что учетная запись заблокирована и для разблокировки требуется ввести свой телефонный номер и полученный в ответном SMS-сообщении код.

По данным экспертов, злоумышленники разработали несколько вариантов «предупреждений»:

«Мы зафиксировали попытку взлома Вашей страницы. Не беспокойтесь, она в безопасности. Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль».

«Ваша страница была заблокирована по подозрению на взлом! Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон».

Для того, чтобы жертвы охотней соглашались указывать в предложенной форме свой номер телефона, поддельные страницы содержали настоящие имена пользователей.

Исследователи установили, что поддельные страницы распространяла видоизмененная троянской программой  Trojan.Zekos системная библиотека rpcss.dll, являющаяся компонентом службы удаленного вызова процедур (RPC) в операционных системах Microsoft Windows.

«Trojan.Zekos состоит из нескольких компонентов. Запустившись на зараженном компьютере, Trojan.Zekos сохраняет свою зашифрованную копию в одну из системных папок в виде файла со случайным именем и расширением, отключает защиту файлов Windows File Protection и пытается повысить собственные привилегии в операционной системе. Затем троянец модифицирует библиотеку rpcss.dll, добавляя в нее код, основное предназначение которого — загрузка в память компьютера хранящейся на диске копии троянца. Также Trojan.Zekos модифицирует драйвер протокола TCP/IP (tcpip.sys) с целью увеличения количества одновременных TCP-соединений в 1 секунду с 10 до 1000000», - говорится в уведомлении «Доктор Веб».

Исследователи отметили, что троян способен перехватывать DNS-запросы на инфицированном компьютере для процессов браузеров Internet Explorer, Firefox, Chrome, Opera, Safari и др.

В таком случае, при попытке пользователя зайти на популярный сайт, браузер получает в ответ некорректный IP-адрес запрашиваемого ресурса, и вместо искомого сайта пользователь увидит принадлежащую злоумышленникам web-страницу. При этом в адресной строке браузера будет демонстрироваться правильный URL.

Подробнее с уведомлением «Доктор Веб» можно ознакомиться здесь.