Хакер #305. Многошаговые SQL-инъекции
Специалисты «Доктор Веб» обнаружили вредоносную копию сайта Федеральной службы судебных приставов (ФССП) России. Хакеры используют сайт-подделку для заражения пользователей трояном Trojan.DownLoader28.58809.
Внешне подделка, обнаруженная исследователями, почти не отличается от оригинала, но, в отличие от официального сайта, на ней все же некорректно отображаются некоторые элементы.
При попытке перейти по некоторым ссылкам на сайте, пользователь будет перенаправлен на страницу с предупреждением о необходимости обновить Adobe Flash Player. Одновременно с этим на устройство пользователя загрузится .exe файл, при запуске которого будет установлен Trojan.DownLoader28.58809.
Этот троян устанавливается в автозагрузку, соединяется с управляющим сервером и скачивает другой вредоносный модуль – Trojan.Siggen8.50183. Кроме этого, на устройство пользователя скачивается файл, имеющий действительную цифровую подпись Microsoft и предназначенный для запуска основной вредоносной библиотеки. После этого малварь собирает информацию о системе пользователя и отправляет ее на свой управляющий сервер. После установки троян будет всегда запущен на устройстве пользователя и сможет выполнять различные действия по команде от управляющего сервера. Так, троян может:
- получить информацию о дисках;
- получить информацию о файле;
- получить информацию о папке (узнать количество файлов, вложенных папок и их размер);
- получить список файлов в папке;
- удалить файлы;
- создать папку;
- переместить файл;
- запустить процесс;
- остановить процесс;
- получить список процессов.
По данным исследователей, хакеры еще не запускали масштабные вредоносные кампании с использованием этого сайта-подделки, однако он мог применяться в атаках на отдельных пользователей или организации.
Индикаторы компрометации уже были опубликованы на GitHub.