Обзор информационных угроз июля 2014 года 1

Троян Bayrob управляется с сервера Amazon

3 февраля 2016

Международная антивирусная компания ESET предупреждает о росте активности троянской программы Win32/Bayrob.

 

Распространение Bayrob осуществляется классическим для этого вида ПО способом – в электронной рассылке. Письмо-приманка замаскировано под официальное сообщение сервиса Amazon. В приложении к письму содержится ZIP-архив с исполняемым файлом.

 

После запуска вредоносная программа выводит на экран сообщение об ошибке, чтобы убедить пользователя в ее безопасности. На самом деле, Bayrob уже действует и используется атакующими в качестве бэкдора.

 

bayrob5

 

Поддельное сообщение об ошибке запуска приложения

 

 

 

Основная цель операторов Bayrob – сбор данных для получения финансовой выгоды: сведений о банковских картах, паролей и логинов от онлайн-банкинга. Чтобы получить эту информацию, троян обращается к удаленному серверу, загружает другие вредоносные программы, запускает исполняемые файлы и отправляет собранные данные злоумышленникам.

 

Для контакта с удаленным сервером Bayrob генерирует различные URL-адреса, помимо используемого. Один из URL, обнаруженных специалистами ESET, зарегистрирован японским представительством Amazon. Вероятно, атакующие управляют зараженными ПК при помощи сервера, входящего в состав инфраструктуры Amazon Web Services. Это не означает, что скомпрометирована вся инфраструктура Amazon – сервер мог быть арендован официально третьими лицами.

 

Первые модификации Bayrob обнаружены еще в 2007 году. С конца 2015 года троян активно используется в атаках на пользователей стран Европы, Южной Африки, Австралии и Новой Зеландии. В январе большинство заражений приходилось на Испанию, Австрию, Германию и Италию.

Динамика распространения Win32/Bayrobbayrob4

 

 

Специалисты ESET обнаружили несколько образцов писем с вредоносными приложениями, написанных на разных языках. Вероятно, злоумышленники регулярно перенацеливают кампанию на пользователей из новых, еще не охваченных кибератакой стран.

 

Эксперты ESET рекомендуют игнорировать подозрительные письма от неизвестных отправителей.

 

Антивирусные продукты ESET NOD32 детектируют новую вредоносную программу как Win32/ Bayrob.

Обсуждение закрыто.