В компании Битрикс сообщили об обнаружении новой троянской программы,
представляющейся одним из модулей системы управления сайтами "Битрикс", в
частности фреймворком, направленным на повышение безопасности веб-проектов. На
самом деле троянец занимается похищением конфиденциальных данных с
инфицированных компьютеров.
Распространяемый троянец был идентифицирован как часть агентского
вредоносного программного обеспечения. Известно, что он также рассылается при
помощи спама и злонамеренных ссылок. Злонамеренное программное обеспечение
представляется либо обновлением для системы управления Битрикс, либо обновлением
для Microsoft Silverlight.
Если троянец запускается в системе-жертве, то он создает многочисленные файлы
и прописывает себя в системном реестре Windows. После инсталляции код
запускается в фоновом режиме и перехватывает клавиатурные нажатия, собирая
данные о пользовательских сведениях и передавая их на удаленный сервис. Известны
случаи получения пользовательских логинов/паролей от популярных сервисов и
перехват данных о банковских картах.
Троянец можно вычислить по наличию папки Bitrix Security в приложениях.
Внутри этой папки будут мусорные файлы, а также DLL-библиотека, имя которой
генерируется динамически.
В компании Битрикс рекомендовали пользователям обновить антивирусные сканеры
и проверить свои ПК на наличие троянца.