Троянец Bayrob в почтовых рассылках

Компания ESET сообщила о росте активности троянской программы Win32/Bayrob. Это ПО распространяется классическим способом – в рассылке по электронной почте; письмо замаскировано под официальное сообщение сервиса Amazon. В приложении к письму содержится ZIP-архив с исполняемым файлом. После запуска вредоносная программа выводит на экран сообщение об ошибке, чтобы убедить пользователя в ее безопасности. На самом деле Bayrob уже функционирует и используется атакующими в качестве бэкдора.

Основная цель операторов Bayrob – сбор данных, позволяющих получить выгоду: сведений о банковских картах, паролей и логинов онлайн-банкинга. Для этого троянец обращается к удаленному серверу, загружает другие вредоносные программы, запускает исполняемые файлы и отправляет собранные данные злоумышленникам.

Для контакта с удаленным сервером Bayrob генерирует различные URL-адреса, помимо используемого. Один из URL, обнаруженных специалистами ESET, зарегистрирован японским представительством Amazon. Вероятно, атакующие управляют зараженными ПК при помощи сервера, входящего в состав инфраструктуры Amazon Web Services. Это не означает, что скомпрометирована вся инфраструктура Amazon – сервер мог быть официально арендован третьими лицами.

Первые модификации Bayrob обнаружены еще в 2007 г.. С конца 2015 г. троянец активно используется в атаках на пользователей стран Европы, Южной Африки, Австралии и Новой Зеландии, в январе большинство заражений приходилось на Испанию, Австрию, Германию и Италию.

Специалисты ESET обнаружили несколько образцов писем с вредоносными приложениями, написанных на разных языках. Вероятно, злоумышленники регулярно перенацеливают кампанию на пользователей из новых, еще не охваченных кибератакой стран.

Антивирусные продукты ESET NOD32 детектируют новую вредоносную программу как Win32/Bayrob.