205622
06.08.2015 компания Eset сообщила о результатах технического анализа вредоносного программного обеспечения Win32/Potao, используемого злоумышленниками для извлечения различной конфиденциальной информации с зараженного компьютера с последующей отправкой на удаленный сервер.
Win32/Potao имеет модульную архитектуру с возможностью установки дополнительных плагинов, позволяющих перехватывать файлы и информацию о системе, отслеживать нажатия клавиш (кейлоггеры), делать снимки с экрана компьютера, инфицировать съемные носители и скачивать обновленные версии вредоносной программы.
В качестве возможных способов распространения Win32/Potao злоумышленники использовали инфицированные USB-накопители, фишинговые сообщения электронной почты и SMS-сообщения, содержащие вредоносные ссылки или вложения, а также вредоносные модификации легитимного ПО для шифрования данных — TrueCrypt (Win32/FakeTC).
Приложение TrueCrypt распространялось через сайт «truecryptrussia.ru», с которого загружался инфицированный исполняемый файл (TrueCrypt.exe). Эксперты компании предполагают, что указанный сайт был изначально создан с целью реализации вредоносных программ, т. к. в результате исследования было обнаружено, что доменное имя сайта использовалось в качестве одного из адресов управляющего сервера.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
