За последние годы, вредоносные программы, замаскированные под настоящие
антивирусы, научились имитировать внешний вид браузера Microsoft Internet
Explorer и операционной системы Windows. Теперь настал черед Mozilla Firefox,
Google Chrome и Apple Safari.
Исследователь безопасности из Zscaler недавно обнаружил волну атак, связанных
с тем, что вредоносное ПО было сделано под конкретный браузер, используемый
жертвой. Так, пользователи IE увидят надоевшую табличку, изображающую
предупреждение безопасности в Windows 7.
А теперь посмотри, что происходит, когда посетитель использует Firefox.
Изображение не только включает исходные элементы Firefox, но и обходит
предупреждение безопасности, которое выдает браузер в том случае, если
пользователи пытаются пройти по вредоносному адресу, сообщил Жюльен Собраейр,
главный исследователь безопасности в Zscaler.
Если же потенциальная жертва переходит на страницу через Chrome, ловушка
выглядит уже совершенно иначе. Первое окно показывает предупреждение
безопасности с фирменным логотипом компании и сообщением "Chrome Security has
found critical process activity on your system and will perform fast scan of
system files".
Далее пользователь видит то, что замаскировано под окно сканирования вирусов
браузера Chrome.
Браузер Safari также не оставили без внимания. Однако в данном случае было
приложено гораздо меньше усилий. Изначально предупреждение выглядит следующим
образом.
Но страница сканирования выглядит уже как в IE.
Главной задачей подобных фейков является убеждение пользователей в том, что
их компьютеры инфицированы и единственный возможный вариант решения проблемы –
это загрузка предложенных программ. Нет сомнения, что после настройки своей
продукции под конкретные браузеры, распространители вредоносного ПО имеют
гораздо большие шансы на успех.
"Я часто видел, чтобы страницы подстраивались под настоящие, но в основном
это были обновления Flash или фейковые обновления кодеков для Internet Explorer
или Firefox", - написал Собрайер в email. "Я никогда не видел фальшивые страницы
антивирусов, да еще и для стольких браузеров".
Среди сайтов, которые перенаправляют на ненастоящие антивирусные страницы,
находятся такие, как columbia.faircitynews.com, www.troop391.org, jmvcorp.com.
После переадресации страница запускает файл InstallInternetDefender_xxx.exe, где
“xxx” это число, которое быстро меняется. На момент написания было обнаружено,
что лишь 9.5% основных (настоящих) антивирусов обнаруживают вредоносное ПО.