Специалисты заметили вариант трояна AZORult, который маскируется под приложение Google Update и заменяет официальную программу вредоносной версией

AZORult — это инфостилер, который также может действовать как загрузчик для другого вредоносного ПО. Троян предназначен для кражи как можно большего объема конфиденциальной информации: от файлов, паролей, cookie-файлов и истории посещения в браузере до банковских учетных данных и криптовалютных кошельков пользователей.

Исследователи получили от одного из своих клиентов на первый взгляд легитимный исполняемый файл GoogleUpdate.exe, подписанный действительной цифровой подписью. Как оказалось при ближайшем рассмотрении, на самом деле файл был подписан сертификатом, выданным компании «Singh Agile Content Design Limited» вместо Google.

Страна необновленного Windows

В ходе анализа специалисты компании Minerva Labs смогли идентифицировать вредоносный файл в фальшивом файле Google Update как троян AZORult на основе нескольких признаков: отправка запроса HTTP POST к /index.php с домена в альтернативной зоне .bit и использование Mozilla/4.0 User-Agent.

Популярные статьи сейчас

Ани Лорак нагрянула к Киркорову с бывшим мужем Муратом, светится от счастья: "Сердце у нее золотое"

Одесских полицейских жестко избили возле Привоза, вопиющие детали: "хотели припарковаться"

Кадры с измученным после реанимации Григорием Чапкисом слили в Сеть, что с ним сейчас: "Очень грустно"

Олега Винника застала врасплох "внебрачная" дочь, неожиданные кадры: "Это кто?"

Трагедия подкосила Каменских, Потап делает все, что может: "Мы даже не думаем, что он..."

Показать еще

Помимо основного функционала, новый вариант AZORult обладает дополнительной возможностью маскироваться под программу Google Updater (C:\Program Files\Google\Update\GoogleUpdate.exe). Таким образом троян может работать с привилегиями администратора и сохранять присутствие на системе без необходимости модификации реестра Windows или добавления задач в планировщик.

Ранее сообщалось, что пользователям угрожает новый вирус, который действует по очень необычному принципу. Так, специалисты из компании Menlo Security зафиксировали волну кибератак на финансовые компании и организации из IT-сектора. Захват контроля над компьютером пользователя осуществляется постепенно с использованием уязвимостей программы Microsoft Word.

Зараженные документы присылаются пользователям по электронной почте. Большинство таких посланий рассылается в крупные компании. Во вложениях есть файлы с расширением docx. Внутри этих вложений присутствуют теги HTML с зараженными элементами.

Напомним, как определить владельца сайта: эксперты подготовили ответ.

Как сообщалось ранее, СБУ дала бой путинским хакерам в Днепре.

Также Politeka писала, что старые iPhone превратились в добычу для хакеров.