В качестве хостинга используются серверы Google Cloud.
Эксперты лаборатории Zscaler ThreatLabZ сообщили о новой вредоносной кампании, направленной на пользователей в Бразилии. В ходе кампании злоумышленники распространяют новый вариант банковского трояна Spy Banker через социальные сети, в основном Facebook и Twitter. В качестве хостинга используются серверы Google Cloud.
Для инфицирования компьютеров жертв преступники применяют методы социальной инженерии, предлагая на Facebook и Twitter бесплатное фальшивое ПО под видом антивируса Avast или мессенджера WhatsApp. Нажав на вредоносную ссылку, пользователь перенаправляется на сервер Google Cloud, служащий для распространения загрузчика Spy Banker. По данным исследователей, переход по ссылке осуществлялся 103 тысячи раз, причем 102 тысячи (99%) пришлись на долю пользователей Facebook.
Оказавшись на компьютере жертвы, загрузчик устанавливает на систему вспомогательные модули Spy Banker Telax, предназначенные для хищения банковских данных. По словам экспертов, Telax обладает рядом функций, позволяющих избежать обнаружения антивирусными решениями. Первым делом вредонос исследует систему на предмет наличия антивирусов. Троян собирает информацию о версии установленного по умолчанию браузера, операционной системы, антивирусного решения и пр. Затем данные отправляется на C&C-сервер злоумышленников.
Данная кампания - не первая попытка использования мошенниками сервисов Google. В июле нынешнего года специалисты Elastica Cloud Threat Labs обнаружили фишинговую кампанию, эксплуатирующую доверенный сервис Google Drive.
C&C-сервер (command and control server) – центральный сервер, используемый для отправки команд ботнету или скомпрометированной компьютерной сети. Сервер взаимодействует с конечными узлами ботнета по разным протоколам. Наиболее часто в качестве протокола управления используется IRC.
5778 К? Пф! У нас градус знаний зашкаливает!