Перейти к содержанию

Новый троян блокирует доступ к сайтам


Рекомендуемые сообщения

Компания «Доктор Веб» сообщила о распространении нового представителя семейства вредоносных программ Trojan.BrowseBan.

 

Этот троян блокирует доступ на некоторые веб-сайты, мошенническим путем вынуждая пользователя оформить платную подписку на различные услуги.

 

Как сообщили в «Доктор Веб», при запуске троян Trojan.BrowseBan.480 проверяет, какие браузеры установлены на компьютере пользователя, а затем сохраняет на диск модули, в которых реализован его вредоносный функционал. Для браузера Microsoft Internet Explorer модуль реализован в виде файла динамической библиотеки, для Mozilla Firefox, Opera и Google Chrome – специального плагина, для функционирования которого троян изменяет пользовательские настройки программы.

 

В результате, при попытке открытия определенных сайтов в окне браузера троян модифицирует отображаемую веб-страницу, и на экране компьютера демонстрируется окно, в котором пользователю предлагается ввести номер мобильного телефона, а затем – код, полученный в ответном SMS-сообщении. Таким образом, жертва соглашается с условиями подписки, согласно которым со счета ее мобильного телефона регулярно будет списываться определенная сумма.

 

С недавних пор операторы «большой тройки» при подключении абонента к платным сервисам стали использовать специальные веб-страницы с информацией об условиях предоставляемых услуг и их стоимости. Поэтому для осуществления подписки Trojan.BrowseBan.480 использует официальные сервисы мобильных операторов МТС (moipodpiski.ssl.mts.ru) и «Билайн» (signup.beeline.ru), однако вредоносный скрипт скрывает «лишнюю» информацию, вследствие чего жертва видит лишь диалоговое окно, содержащее форму для ввода номера мобильного телефона.

 

Примечательно, что злоумышленники не поленились разработать уникальный дизайн окна для различных сайтов, которые может посетить жертва: среди них – страницы социальных сетей «ВКонтакте», «Одноклассники», «Мой мир», Facebook, популярные поисковые системы, почтовые службы «Яндекс.Почта», Gmail, Mail.ru, а также другие популярные ресурсы. Подписку осуществляет контент-провайдер «Пластик Медиа», а оплата взимается якобы за доступ к службе анонимайзера 4anonimz.ru. Однако в силу того, что троян скрывает подробную информацию о подписке, жертва об этом даже не догадывается, подчеркнули в «Доктор Веб».

 

Источник: Safe.CNews.ru.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ARMADA
      От ARMADA
      Доброго времени суток!
      Файл отправленный для анализа был скачан с сайта https:// gk-brains ru/
      Ссылка на данный сайт рассылается блогерам, с предложением о сотрудничестве.
      Письмо отправлено с адреса *****@*****.tld
      Я думаю это массовая рассылка, пожалуйста проанализируйте архив с сайта и файлы в нём, троян (а это 100% троян) содержится в "gb Договор на оказание рекламных услуг.scr", замаскирован под скринсейвер.
       
      Пожалуйста добавьте в базу обнаружения, а так же методику лечения данной угрозы. Знакомый ютубер додумался скачать и запустить. Думаем что делать дальше.
       
      Файл отправил для анализа через https://opentip.kaspersky.com/
      9144716EDCA4A448BCA5E6CA103A7758B2F839280E128155F68D9BFC9A20EEDF
       
      Очевидно что рассылка идёт прямо сейчас, и будет много жертв.
       
      Так же - хотелось бы алгоритм полного удаления из системы, со всеми "хвостами".
      Систему пока запускать боимся, думаю пролечить с загрузкой с флешки. 
      По сему KVRT и логи предоставить не могу.
    • Bercolitt
      От Bercolitt
      У меня Windows 10 домашний, следовательно нет удаленного рабочего стола. Многие документы и картинки с моего ПК перенеслись автоматически в облачное хранилище OneDrive. Это видно в проднике. Особого доверия к этому хранилищу нет. Если возникают какие-то предупреждения от Kaspersky Plus, то в качестве пользователя указывается модифицированное имя моего ПК с добавлением знака доллара $ на конце. Это удаленный доступ хакера или программы бота к моим данным?
    • Сергей194
      От Сергей194
      Здравствуйте. Поймали шифровальщик, база 1с недоступна. работа предприятия заблокирована. Выручайте!
      Desktop.rar
    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • KL FC Bot
      От KL FC Bot
      Сегодня поговорим о крысах, но не о тех, что с длинными хвостами, а о компьютерных — RAT (remote access trojan). Так называют трояны, которые позволяют злоумышленнику получить удаленный доступ к устройству. Обычно «крысы» умеют самостоятельно устанавливать и удалять программы, контролировать буфер обмена и считывать данные с клавиатуры.
      В мае 2024 года в нашу крысоловку попался новый представитель RAT-троянов: SambaSpy. Как это вредоносное ПО проникает на устройства жертв и чем оно там занимается — в этой публикации.
      Что такое SambaSpy
      SambaSpy — это многофункциональный RAT-троян, обфусцированный с помощью Zelix KlassMaster, что существенно затрудняет его обнаружение и анализ. Тем не менее мы справились с обеими задачами и выяснили, что новый RAT-троян умеет:
      управлять файловой системой и процессами; загружать и выгружать файлы; управлять веб-камерой; делать скриншоты; красть пароли; загружать дополнительные плагины; удаленно управлять рабочим столом; регистрировать нажатия клавиш; управлять буфером обмена.  
      View the full article
×
×
  • Создать...