Поддельный сайт ФССП России с троянским ПО
По сообщению компании «Доктор Веб», специалисты ее вирусной лаборатории обнаружили вредоносную копию сайта Федеральной службы судебных приставов (ФССП) России. Хакеры используют подделку для заражения пользователей троянцем Trojan.DownLoader28.58809. Копия сайта ФССП России была обнаружена по адресу 199.247.***.***. Внешне она почти не отличается от оригинала, но, в отличие от официального сайта, на ней некорректно отображаются некоторые элементы.
При попытке перейти по некоторым ссылкам на сайте пользователь будет перенаправлен на страницу с предупреждением о необходимости обновить Adobe Flash Player. Одновременно с этим на устройство пользователя загрузится .exe файл, при запуске которого будет установлен Trojan.DownLoader28.58809.
Троянец устанавливается в автозагрузку в системе пользователя, соединяется с управляющим сервером и скачивает другой вредоносный модуль – Trojan.Siggen8.50183. Кроме того, на устройство пользователя скачивается файл, имеющий действительную цифровую подпись Microsoft и предназначенный для запуска основной вредоносной библиотеки. После чего Trojan.Siggen8.50183 собирает информацию о системе пользователя и отправляет ее на управляющий сервер. После установки троянец будет всегда запущен на устройстве пользователя и сможет выполнять различные действия по команде от управляющего сервера.
Запустившись на устройстве жертвы, троянец может:
- получить информацию о дисках и файлах;
- получить информацию о папках (узнать количество файлов, вложенных папок и их размер) и список файлов в папке;
- создать папку;
- удалить или переместить файл;
- запустить или остановить процесс;
- получить список процессов.
По данным «Доктор Веб», хакеры еще не запускали масштабные вирусные кампании с использованием сайта-подделки, но он мог использоваться в атаках на отдельных пользователей или организации.