Исследователи компании «Доктор Веб» выявили киберпреступную операцию по созданию фейковых веб-сайтов, которые распространяют вредоносные установщики программного обеспечения, чтобы обмануть доверчивых пользователей и заставить их загрузить троян-загрузчик Fruity.
Конечной целью злоумышленников является установка на заражённый компьютер инструментов удалённого управления, такие как троян Remcos RAT.
Среди рассматриваемого программного обеспечения были представлены «инструменты для тонкой настройки работы процессоров, видеокарт и BIOS, утилиты для проверки состояния компьютерного оборудования и ряд других. Такие установщики служат приманкой и содержат не только интересующее потенциальную жертву ПО, но и сам троян вместе со всеми его компонентами», — заявили эксперты.
Точный первоначальный вектор атаки данной операции неясен, он может включать в себя как фишинговые рекламные баннеры, так и прочие способы. Пользователи, так или иначе попавшие на поддельный сайт, загружают установщик тщательно разрекламированной им программы в ZIP-архиве.
Поддельные сайты с вредоносным софтом
Установщик тайно сбрасывает троян Fruity, написанный на Python, который распаковывает MP3-файл «Idea.mp3», чтобы затем загрузить изображение «Fruit.png» для активации многоступенчатого процесса заражения, который практически не обнаруживается антивирусным программным обеспечением за счёт нестандартных для вирусов расширений файлов.
Полная схема атаки трояна Fruity
По словам специалистов «Доктор Веб», эти файлы используют метод стеганографии, чтобы спрятать внутри себя исполняемые
Источник: SecurityLab