Эксперты из компании «Доктор Веб» предупреждают пользователей об очередной опасности. На этот раз кибермошенники распространяют троянца PWS.UFR.3010 с почтовой рассылкой. Основное назначение данной вредоносной программы состоит в краже паролей от различных прикладных программ.
С 26 декабря текущего года многие пользователи сети Интернет увидели в своих почтовых ящиках ряд электронных писем на тему оплаты непонятного счета. К каждому письму прилагался вложенный архив ZIP. В тексте письма предлагается проверить банковские данные присланного платежного поручения.
При этом во вредоносной рассылке явно настораживает несколько фактов. И в первую очередь это название архива [FILENAME].JPG.zip, а также ряд ошибок в самом тексте письма. При скачивании архива, на компьютер загружается исполняемый файл. А для конспирации вредоносного приложения в окне Проводника его расширение exe отделено от имени множеством точек. Подобный способ маскировки названия приложения используется злоумышленниками уже долгие годы и считается стандартным. Однако более продвинутые хакеры использовали не точки, а большое количество пробелов, что служило еще более надежным методом скрытия вредоносного файла. Также специалисты из антивирусной лаборатории отмечают, что злоумышленники даже не потрудились над тем, чтобы замаскировать сам значок приложения на более нейтральный и не вызывающий подозрений.
Сам же троянец, который обнаруживается антивирусными программами под кодом PWS.UFR.3010, создавался при помощи UFR Stealer – небезызвестного конструктора программ для кражи паролей, который с 2010 года можно запросто найти на любом хакерском форуме. А это говорит о том, что данной программой сможет воспользоваться любой подросток, которому для создания вредоносного ПО вовсе не обязательно знать язык программирования.
Отправляемые жертвам электронные письма с вредоносной программой имеют своей целью кражу паролей от большинства популярных почтовых и FTP клиентов, браузеров, программ быстрого обмена сообщениями, а также множества других приложений, в том числе и видео-игр, таких как, например, World of Tanks. Полученные троянцем конфиденциальные данные при помощи протокола FTP отправляются на удаленный сервер или на электронную почту злоумышленников. Эксперты провели анализ FTP-сервера злоумышленников и выяснили, что заражению при помощи программы, созданной в простейшем конструкторе, подверглось несколько сотен ПК, причем только за последние сутки было обнаружено не менее 120 успешных кибератак.