Атака троянца-загрузчика Fruity на Windows
Компания «Доктор Веб» сообщила, что выявила атаку на пользователей Windows с применением модульной троянской программы-загрузчика Trojan.Fruity.1. С ее помощью злоумышленники могут заразить компьютеры различными типами вредоносных приложений в зависимости от своих целей. Для сокрытия атаки используется ряд приемов, в том числе многоступенчатый процесс заражения целевых систем, применение безобидных программ для запуска компонентов троянца, а также попытка обойти антивирусную защиту.
Как поясняют в «Доктор Веб», уже примерно год компания регистрирует обращения пользователей с жалобами на заражение Windows-компьютеров программой-шпионом Remcos RAT (Trojan.Inject4.57973). В ходе расследования этих инцидентов специалисты «Доктор Веб» вскрыли атаку, в которой главная роль отведена многокомпонентной троянской программе-загрузчику Trojan.Fruity.1. Для ее распространения злоумышленники создают вредоносные сайты, а также специально подготовленные установщики различных программ. Среди них – инструменты для тонкой настройки работы процессоров, видеокарт и BIOS, утилиты для проверки состояния компьютерного оборудования и ряд других. Установщики служат приманкой и содержат не только интересующее потенциальную жертву ПО, но и самого троянца вместе со всеми его компонентами.
При попытке скачать ту или иную программу с поддельного сайта посетитель перенаправляется на страницу файлообменного сервиса MEGA, где ему предлагается загрузить zip-архив с троянским пакетом. Когда жертва извлекает из архива исполняемый файл и запускает его, начинается стандартный процесс установки. Однако наряду с искомой безобидной программой, отвлекающей внимание, на компьютер попадает и Trojan.Fruity.1, который копируется в ту же папку, что и программа-приманка.
Один из «модулей» троянца – легитимные программы. Например, Trojan.Fruity.1 был внедрен в одну из библиотек языка программирования Python, для запуска которой используется интерпретатор python.exe с действительной цифровой подписью. Кроме того, были выявлены случаи применения файлов медиаплеера VLC и среды виртуализации VMWare. После извлечения файлов из установщика начинается многоступенчатый процесс заражения системы, подробно описанный экспертами «Доктор Веб».