Троянец с маскировкой под антивирусную утилиту
По сообщению компании «Доктор Web», ее специалисты обнаружили троянца, маскирующегося под антивирусную утилиту известного разработчика. Троянец, получивший наименование Trojan.BPLug.1041, был обнаружен при переходе из результатов поиска Google на взломанную злоумышленниками Web-страницу отечественного телеканала, посвященную одному из популярных российских телесериалов. Позже выяснилось, что cкомпрометированы были еще несколько посещаемых Интернет-ресурсов, в том числе связанных с телевизионными шоу. Если пользователь переходит на зараженный сайт с другого домена и при соблюдении ряда условий (использование 32-разрядной ОС семейства Windows или ОС семейства Mac OS X с архитектурой Intel и браузера, отличного от Opera), вредоносный скрипт открывает на вкладке, откуда был выполнен переход, страницу злоумышленников. Встроенный в код этой Web-страницы специальный обработчик не позволяет закрыть вкладку, при нажатии клавиш или щелчке мышью демонстрируя на экране окно, предлагающее пользователю установить некое расширение для браузера. При этом злоумышленники выдают данное расширение за утилиту, якобы созданную широко известной компанией-производителем антивирусного ПО.
В процессе установки данный плагин требует у пользователя предоставить ему ряд специальных разрешений и после инсталляции отображается в списке установленных расширений Chrome под именем «Щит безопасности KIS».
Плагин, детектируемый Антивирусом Dr.Web как Trojan.BPLug.1041, включает в себя два обфусцированных файла на языке JavaScript. Основное назначение троянца – выполнение Web-инжектов, т. е. встраивание постороннего содержимого в просматриваемые пользователем Web-страницы. На всех сайтах вредоносная программа блокирует демонстрацию сторонней рекламы с любых доменов, кроме тех, список которых есть в ее конфигурации.
За отображение рекламы отвечает отдельная функция, с помощью которой троянец анализирует содержимое открытой пользователем Web-страницы. Если ее контекст включает порнографическое содержимое, Trojan.BPLug.1041 загружает рекламу соответствующей тематики из двух отдельных сетей. Кроме того, данное расширение содержит список сайтов, на которых троянец не показывает рекламу, среди них fsb.ru, gov.ru, government.ru, mos.ru, gosuslugi.ru и некоторые другие. На сервер злоумышленников Trojan.BPLug.1041 отправляет сведения о других расширениях Chrome, установленных на инфицированном компьютере. При этом сервер может указать троянцу, какие расширения следует отключить.
Если пользователь авторизовался в «Одноклассниках», Trojan.BPLug.1041 пытается предоставить определенному приложению доступ к API этой социальной сети от имени жертвы путем авторизации по протоколу OAuth. При этом в процессе авторизации запрашиваются привилегии на изменение статуса, просмотр, редактирование, загрузку фотографий, просмотр и отправку сообщений от имени пользователя, а также некоторые другие. Можно предположить, что этот функционал используется злоумышленниками в рекламных целях – например, для продвижения групп, рассылки спама или голосований.
Как отмечают в «Доктор Web», в интернет-магазине Chrome имеются целых три расширения с именем «Щит безопасности KIS», созданных одним и тем же автором, однако два из них по разным причинам нефункциональны. Общее число установок всех трех плагинов на сегодняшний день превышает 30 тыс. Специалисты компании предостерегают пользователей от загрузки и инсталляции подозрительных расширений, полученных из недоверенных источников. Если в окне браузера появилась подобная вкладка, не позволяющая себя закрыть, можно воспользоваться диспетчером задач, доступным в меню Google Chrome, и остановить соответствующий процесс браузера. Сигнатура Trojan.BPLug.1041 добавлена в вирусные базы Dr.Web, администрация взломанных злоумышленниками сайтов проинформирована об инциденте.