На территории Бразилии зафиксирована новая вспышка заражений известным финансовым зловредом. Некоторым ИБ-компаниям он знаком с 2009 года, однако злоумышленники привнесли новые элементы в схему его доставки.

Троянская кампания, наблюдаемая Zscaler, ограничена социальными медиа — по большей части это Facebook. Злоумышленники распространяют короткие ссылки, суля португалоязычным участникам соцсети льготные купоны, ваучеры или бесплатный вариант премиум-софта. Отмечены также случаи заражения через drive-by-загрузки.

По свидетельству Zscaler, все эти сокращенные URL привязаны к серверу, размещенному в облаке Google, с которого грузится вредоносный даунлоудер. Целевым зловредом в данном случае является троянец Telax, предназначенный для кражи идентификаторов к системам онлайн-банкинга.

Эксперт «Лаборатории Касперского» Фабио Ассолини (Fabio Assolini) отметил высокую эффективность текущей кампании, использующей элементы социальной инженерии и доверенную среду соцсетей. «Бразильские злоумышленники активно используют бесплатный хостинг, в частности такие веб-сервисы, как Google Docs, Dropbox, Sugarsync и др., — добавляет исследователь. — Однако миграция на Facebook.com наблюдается впервые».

В отчете Zscaler в качестве примера приведена ссылка bit.ly, указывающая на php-файл на сервере, размещенном на Google Cloud. Этот файл является редиректором и инициирует первый этап загрузки, нацеленный на запуск даунлоудера. Исполняемый файл замаскирован под ссылку на онлайн-сервис бразильской налоговой службы, хотя замечены также другие варианты камуфляжа: бесплатный антивирус, скидочный купон WalMart, инсталлятор WhatsApp и т.п.

По данным Zscaler, с 20 октября по 30 ноября данная ссылка bit.ly была активирована более 103 тыс. раз, причем в 102 тыс. случаев — из Facebook. Остальные запросы подавались из пяти сторонних доменов: aquinofinal[.]com; aquiredire[.]com; brasildareceita[.]com; mundodareceita[.]com; ofertasplusdescontos[.]com. Четыре из них были некогда разделегированы американским регистратором GoDaddy и в настоящее время неактивны.

«Важно отметить, что Google уже очистила облачные серверы, задействованные под редирект, и запросы на вредоносные файлы возвращают ошибку 404», — пишут исследователи. По данным Zscaler, большинство жертв данной банкер-кампании проживают в Бразилии, значительно меньше — в США и Португалии.

Анализ Telax показал, что он написан на Delphi и предназначен для кражи паролей к онлайн-счетам. Данный банкер также способен определять версию операционной системы жертвы, производить самообновление, отслеживать штатные антивирусы и запуск на виртуальной машине. Он поражает в том числе 64-битные версии ОС и использует руткит. Кроме того, Telax умеет по команде загружать другое вредоносное ПО и поддельную страницу дополнительной аутентификации в системе онлайн-банкинга (при использовании 2FA).

Категории: Аналитика, Вредоносные программы