Обнаружен новый троян, используемый для кражи паролей из браузеров

25 Ноябрь 2016

Новый вид вредоносного ПО удалось обнаружить специалистам из команды Cisco Talos. Они наткнулись на подозрительные сообщения, напоминающие вполне безобидный спам. Но на самом же деле в таких сообщениях содержится вредоносное ПО, которое загружается на компьютеры пользователей и похищает пароли.

Вирус называется Fareit. Кража паролей — это всего лишь одна из его функций. Вообще он создавался для эксфильтрации данных.

Об этом вирусе специалисты узнали уже довольно давно, но на этот раз их привлек новый способ распространения этого трояна. Особенно удивил экспертов тот факт, что для такого типа форматов начал использоваться совершенно нетипичный метод. В частности, Fareit начали прикреплять к спам-сообщениям и переправлять пользователям. Такие письма могут маскироваться под сообщения абсолютно любой фирмы. Например, исследуемые зараженные спам-сообщения являлись якобы рассылкой от банка HSBC. Каждое такое сообщение имело прикрепленный документ MIME HTML. По своей сути такие документы являются архивными копиями сохраненных веб-страниц. Его обычно используют для сопоставления в один файл кода HTML и ресурсов, представленных в качестве внешних ссылок.

При получении вредоносного письма полученный MHTML-документ при активации загружал расширение HTA, а оно в свою очередь загружало еще 2 продукта. Это непосредственно само вредоносное программное обеспечение и Visual Basic-скрипт.

Отметим, что ранее поступила информация о том, что создатели известного вируса Dridex тестируют новые способы его распространения. Ранее он распространялся с помощью ботов и при помощи уже взломанных компьютеров, сейчас же злоумышленники намерены использовать исключительно легитимные сервисы. Так что вполне можно ожидать в скором времени новую волну атак.