«Доктор Веб» обнаружил вредоносную копию сайта Федеральной службы судебных приставов (ФССП) России. Хакеры используют сайт-подделку для заражения пользователей трояном Trojan.DownLoader28.58809.
Внешне подделка почти не отличается от оригинала, но на ней все же некорректно отображаются некоторые элементы. При попытке перейти по некоторым ссылкам на сайте, пользователь будет перенаправлен на страницу с предупреждением о необходимости обновить Adobe Flash Player. Одновременно с этим на устройство пользователя загрузится .exe файл, при запуске которого будет установлен Trojan.DownLoader28.58809.
Этот троян устанавливается в автозагрузку, соединяется с управляющим сервером и скачивает другой вредоносный модуль – Trojan.Siggen8.50183. Кроме этого, на устройство пользователя скачивается файл, имеющий действительную цифровую подпись Microsoft и предназначенный для запуска основной вредоносной библиотеки. После этого малварь собирает информацию о системе пользователя и отправляет ее на свой управляющий сервер. После установки троян будет всегда запущен на устройстве пользователя и сможет выполнять различные действия по команде от управляющего сервера. Этот троян может:
- получить информацию о дисках;
- получить информацию о файле;
- получить информацию о папке (узнать количество файлов, вложенных папок и их размер);
- получить список файлов в папке;
- удалить файлы;
- создать папку;
- переместить файл;
- запустить процесс;
- остановить процесс;
- получить список процессов.
По данным исследователей, киберпреступники еще не запускали масштабные вредоносные кампании с использованием этого сайта-подделки, однако он мог применяться в атаках на отдельных пользователей или организации.