Java-апплет на популярном веб-сайте Trading Forex (tradingforex.com) устанавливал бэкдор на компьютеры трейдеров. Вредоносный код обнаружила антивирусная компания Websense. Специалисты не могут сказать, специально ли злоумышленники выбрали именно этот сайт для распространения зловредов, или это один среди многих уязвимых ресурсов. Но подобный сайт, очевидно, представляет собой идеальную платформу для доступа к целевой аудитории — владельцам онлайновых банковских счетов.
Бэкдор, который использовался для этой атаки, написан на языке программирования Visual Basic.Net, и ему для работы нужен фреймворк Microsoft .NET.
Фрагмент HTML со ссылкой на вредоносный файл JAR был добавлен в конце HTML-страницы.
Упомянутый вредоносный сайт libertyresarve.info, очевидно, использовался и будет использоваться для тайпосквоттинга против пользователей известной платёжной системы Libertyreserve.
Java-апплет предлагал пользователю запустить бинарный файл 123.exe, который представляет собой бэкдор, обеспечивающий связь с удалённым командным сервером "hxxp://firestormm6t.no-ip.info (46.166.129.110). Обмен данными происходит в кодировке BASE64.
Исследователям удалось установить, что зловред способен делать скриншоты десктопа, записывать нажатия клавиш и т.д.
