«Вирус может использоваться для кражи паролей, установки крипто-валютных майнеров и доставки троянских вредоносных программ» - предупреждают исследователи, «Те, кто стоит за ним, стремятся продать доступ к ПК с Windows другим кибер-преступникам».
Недавно обнаруженная форма вредоносного ПО, доставляемого жертвам через рекламу в результатах поиска, используется как шлюз для кражи паролей, установки крипто-валютных майнеров и доставки дополнительных троянских вредоносных программ.
Подробно описанный компанией Bitdefender вредонос под Windows получил название «MosaicLoader» и атакует жертв по всему миру, поскольку те, кто стоит за ним, пытаются скомпрометировать как можно больше систем.
MosaicLoader может использоваться для загрузки различных сторонних вирусов на зараженные машины, включая Glupteba - тип вредоносного ПО, создающего бэкдор в зараженных системах, который затем может быть использован для кражи конфиденциальной информации включая имена пользователей и пароли, а также финансовой информации.
В отличие от многих видов вредоносных программ, которые распространяются через фишинговые атаки или уязвимости в программном обеспечении, MosaicLoader попадает к жертвам через рекламу.
Ссылки на вредоносную программу появляются в верхней части результатов поиска, когда люди ищут взломанные версии популярных программ. Так как используемые для покупки и размещения рекламы полностью автоматизированы, то скорее всего никто в цепочке - кроме злоумышленников - не знает, что реклама является вредоносной.
Компания по безопасности заявила, что сотрудники, работающие из дома, подвержены большему риску загрузки взломанного программного обеспечения.
«Скорее всего, злоумышленники покупают рекламу в нисходящих рекламных сетях - небольших рекламных сетях, которые переправляют рекламный трафик все более крупным провайдерам. Обычно они делают это в выходные дни, когда ручная проверка рекламы затруднена из-за ограниченного количества дежурного персонала» - сообщил изданию ZDNet Богден Ботезату, директор по исследованиям угроз и отчетности в Bitdefender.
Вполне возможно, что вредоносная программа будет обнаружена антивирусным ПО, но многие пользователи, загружающие нелегально взломанное программное обеспечение, скорее всего, отключили свои средства защиты, чтобы получить доступ и установить программу.
Для того чтобы загрузка казалась пользователю как можно более легитимной, взломанное программное обеспечение имитирует информацию о файлах настоящего программного обеспечения, вплоть до имен и описаний в папках файлов.
Однако все, что загружается - это MosaicLoader, который предоставляет злоумышленникам доступ к машине. Исследователи отмечают, что злоумышленники пытаются украсть имена пользователей и пароли для онлайн-аккаунтов, а также запустить крипто-валютные майнеры и установить трояны, которые предоставляют бэкдор-доступ к машинам.
Предполагается, что целью этой кампании является продажа доступа к взломанным машинам Windows - хотя тот факт, что дополнительное вредоносное ПО уже установлено, говорит о том, что злоумышленники крадут данные в том числе и для себя.
«Насколько мы можем судить, этот новый MosaicLoader пытается заразить как можно больше устройств, вероятно, для того, чтобы нарастить долю рынка и затем продать доступ к зараженным компьютерам другим злоумышленникам» - заявил Ботезату.
По данным Bitdefender, кибер-преступная группа, стоящая за MosaicLoader, скорее всего, является новичком на рынке кибер-угроз и не связана с какими-либо ранее известными группами. Они пытаются распространить вредоносную программу как можно шире - но текущая форма распространения означает, что пока пользователи не пытаются загрузить взломанное программное обеспечение, они остаются в безопасности.
Пользователям также следует опасаться следовать инструкциям по отключению антивирусных программ, так как это может привести к проникновению вредоносных программ в систему.
«Мы советуем пользователям никогда не отключать антивирусное решение, если оно блокирует установку программ, загруженных из Интернета, поскольку злоумышленники научились комплектовать законные приложения вредоносным ПО» - сообщил Ботезату.
Источник: https://www.zdnet.com/
