Троянская программа содержится в письмах электронной почты, которые рассылаются потенциальным жертвам.
Злоумышленники распространяют поддельные уведомления о том, что в Сети отныне доступно приложение WhatsApp для персональных компьютеров. В письме содержатся ссылки для скачивания программы. Об этом сообщают специалисты «Лаборатории Касперского».
Пройдя по ссылке, пользователя изначально перенаправляют на взломанный сервер, который находится в Турции. Потом его перенаправляют на облачный сервис Hightail для скачивания якобы 64-битного установочного файла, который на самом деле является троянской программой.
«У этого загрузчика есть кое-какие противоотладочные функции, как-то: UnhandledExceptionFilter() и RaiseException().После запуска, он загружает нового троянца, который сам по себе является банкером. Этот зловред скачивается с сервера в Бразилии», - отмечается в блоге «Лаборатории Касперского».
После запуска вредоносной программы на компьютере жертвы она отправляет в принадлежащую киберпреступникам консоль информацию о количестве заражений. Все данные пересылаются через локальный порт 1157 в том случае, если он открыт. Помимо этого, троян загружает на компьютеры жертв другое вредоносное ПО.
На перекрестке науки и фантазии — наш канал