Обнаружен новый троян, разработанный для монетизации файлового трафика

Обнаружен новый троян, разработанный для монетизации файлового трафика

Вредонос загружается через сайты файлообменников, принадлежащие злоумышленникам.

image

Семейство вредоносов Trojan.LoadMoney (по классификации «Доктор Веб») неизменно входит в TOP-10 угроз, обнаруживаемых антивирусным решением компании. К данной категории относятся различные инсталляторы, которые устанавливают на компьютер жертвы всевозможные дополнительные компоненты вместе с требуемым приложением. Одним из таких троянов является Trojan.LoadMoney.336.

Данный инсталлятор разработан вирусописателями для монетизации файлового трафика. Принцип работы трояна следующий: потенциальная жертва находит необходимый файл на файлообменнике, принадлежащем злоумышленникам. В то время, как пользователь пытается скачать файл, происходит автоматические перенаправление на промежуточный сайт, с которого на компьютер жертвы и загружается троян. После запуска инсталлятор обращается на другой сервер, с которого он получает зашифрованный файл конфигурации. Конфигурационный файл содержит ссылки на вредоносное ПО и различные партнерские приложения, которые загружаются из интернета и запускаются на инфицированном компьютере.

После запуска вредонос выполняет ряд манипуляций в системе, чтобы скрыть свое присутствие среди других текущих процессов. В частности, он запрещает завершение работы Windows, выдавая ошибку «Выполняется загрузка и установка обновлений» при попытке выключения компьютера. После успешной инициализации троян ожидает остановки курсора мыши, затем запускает две собственные копии, удаляя исходный файл.

Инсталлятор собирает и передает злоумышленникам информацию об инфицированном компьютере. После этого троян посылает CNC-серверу GET-запрос и получает от него зашифрованный ответ, который содержит ссылки для последующей загрузки файлов, скачивание которых выполняется в отдельном потоке.

Помимо ссылок на загружаемые и устанавливаемые компоненты, зашифрованный файл конфигурации содержит данные о диалоговом окне, которое отображается перед их установкой. Флажки, с помощью которых можно отключить устанавливаемые компоненты, неактивны по умолчанию. Однако при наведении курсора третий из них неожиданно становится активным и позволяет сбросить первые два.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle