Злоумышленники использовали почту бразильского правительства для распространения трояна

Как сообщили эксперты антивирусной компании Eset, им удалось обнаружить атаку на бразильских пользователей, для проведения которой злоумышленники разместили троян на сайте правительства страны.

Так, вредоносная программа MSIL/Spy.Banker.AU, являющаяся банковским трояном, попадая в компьютер жертвы, устанавливала специальное расширение для браузера Google Chrome, при помощи которого получала доступ к конфиденциальным данным.

Угроза распространялась через специальную спам-кампанию. Главным звеном в такой схеме является дроппер, который отвечает за установку необходимых динамических DLL-библиотек и JavaScript-объектов на скомпрометированном компьютере. После установки на инфицированном компьютере, вирус начинал отслеживать просмотренные жертвой интернет-страницы, и, как только пользователь заходил в сервис online-банкинга, перехватывал учетные данные.

Эксперты отмечают, что образец вредоносного ПО распостранялся в электронных сообщениях, якобы, от имени правительства Бразилии.

Так, хакеры проэксплуатировали уязвимость в настройках почтового сервиса и использовали учетную запись gov.br электронной почты для перенаправления с него писем на два разных аккаунта e-mail, принадлежавших одному из наиболее популярных почтовых сервисов.

Таким образом, злоумышленинки получали два письма: первое  – о факте нового заражения, второе – об авторизации жертвы в системе интернет-банкинга.

Далее, используя вредоносные скрипты и список различных банковских доменов, программа сохраняла учетные данные пользователя и отправляла их киберпреступникам.

После обнаружения преступной кампании исследователями, власти предприняли все необходимые меры для ликвидации угрозы. Так, аккаунты электронной почты были заблокированы, а уязвимость сервера, которая использовалась злоумышленниками для получения аккаунта gov.br, была закрыта.

Подробнее с уведомлением экспертов можно ознакомиться здесь.