Как сообщили эксперты антивирусной компании Eset, им удалось обнаружить атаку на бразильских пользователей, для проведения которой злоумышленники разместили троян на сайте правительства страны.
Так, вредоносная программа MSIL/Spy.Banker.AU, являющаяся банковским трояном, попадая в компьютер жертвы, устанавливала специальное расширение для браузера Google Chrome, при помощи которого получала доступ к конфиденциальным данным.
Угроза распространялась через специальную спам-кампанию. Главным звеном в такой схеме является дроппер, который отвечает за установку необходимых динамических DLL-библиотек и JavaScript-объектов на скомпрометированном компьютере. После установки на инфицированном компьютере, вирус начинал отслеживать просмотренные жертвой интернет-страницы, и, как только пользователь заходил в сервис online-банкинга, перехватывал учетные данные.
Эксперты отмечают, что образец вредоносного ПО распостранялся в электронных сообщениях, якобы, от имени правительства Бразилии.
Так, хакеры проэксплуатировали уязвимость в настройках почтового сервиса и использовали учетную запись gov.br электронной почты для перенаправления с него писем на два разных аккаунта e-mail, принадлежавших одному из наиболее популярных почтовых сервисов.
Таким образом, злоумышленинки получали два письма: первое – о факте нового заражения, второе – об авторизации жертвы в системе интернет-банкинга.
Далее, используя вредоносные скрипты и список различных банковских доменов, программа сохраняла учетные данные пользователя и отправляла их киберпреступникам.
После обнаружения преступной кампании исследователями, власти предприняли все необходимые меры для ликвидации угрозы. Так, аккаунты электронной почты были заблокированы, а уязвимость сервера, которая использовалась злоумышленниками для получения аккаунта gov.br, была закрыта.
Подробнее с уведомлением экспертов можно ознакомиться здесь.