Новости

Eset: шпионское ПО Win32/Potao распространялось через легитимное приложение для шифрования данных

07.08.2015
Eset: шпионское ПО Win32/Potao распространялось через легитимное приложение для шифрования данных
06.08.2015 компания Eset сообщила о результатах технического анализа вредоносного программного обеспечения Win32/Potao, используемого злоумышленниками для извлечения различной конфиденциальной информации с зараженного компьютера с последующей отправкой на удаленный сервер.

Win32/Potao имеет модульную архитектуру с возможностью установки дополнительных плагинов, позволяющих перехватывать файлы и информацию о системе, отслеживать нажатия клавиш (кейлоггеры), делать снимки с экрана компьютера, инфицировать съемные носители и скачивать обновленные версии вредоносной программы.

В качестве возможных способов распространения Win32/Potao злоумышленники использовали инфицированные USB-накопители, фишинговые сообщения электронной почты и SMS-сообщения, содержащие вредоносные ссылки или вложения, а также вредоносные модификации легитимного ПО для шифрования данных — TrueCrypt (Win32/FakeTC).

Приложение TrueCrypt распространялось через сайт «truecryptrussia.ru», с которого загружался инфицированный исполняемый файл (TrueCrypt.exe). Эксперты компании предполагают, что указанный сайт был изначально создан с целью реализации вредоносных программ, т. к. в результате исследования было обнаружено, что доменное имя сайта использовалось в качестве одного из адресов управляющего сервера.