Fani telewizyjnych seriali często interesują się wiadomościami o swoich ulubionych bohaterach i aktorach. Cyberprzestępcy dystrybuujący złośliwe programy czasami wykorzystują to zainteresowanie do własnych celów. Analitycy bezpieczeństwa Doctor Web wykryli trojana, który między innymi został wymierzony w fanów jednego z popularnych rosyjskich seriali. Ten złośliwy program przestawia się jako narzędzie antywirusowe stworzone przez dobrze znanego dewelopera.


Trojan nazwany Trojan.BPLug.1041 został znaleziony w wynikach wyszukiwarki Google, prowadzących do zhakowanej strony www jednego z rosyjskich kanałów TV, dedykowanej jednemu z popularnych rosyjskich seriali. Później okazało się, że kilka innych zasobów internetowych, powiązanych z telewizyjnymi programami rozrywkowymi, również uległo podobnym atakom. Jeśli użytkownik trafi na zainfekowaną stronę www z innej domeny i spełni kilka warunków (posiada komputer pracujący pod kontrolą 32-bitowej wersji Windows lub OS X działającego na architekturze Intela, z dowolną przeglądarką oprócz Opery), to złośliwy skrypt otworzy stronę cyberprzestępców w zakładce, z której użytkownik dostał się na tą stronę. Specjalny program wbudowany w kod tej strony nie pozwala na zamknięcie tej zakładki. Jeśli użytkownik naciśnie klawisz lub kliknie myszką, ów program wyświetli na ekranie okno, oferujące możliwość zainstalowania rozszerzenia przeglądarki. Dodatkowo, cyberprzestępcy dystrybuują to rozszerzenie jako narzędzie, rzekomo stworzone przez dobrze znanego dewelopera oprogramowania antywirusowego.

Podczas instalacji wtyczka wymaga spełnienia listy konkretnych uprawnień. Po instalacji zostaje wyświetlona na liście zainstalowanych rozszerzeń Chrome pod nazwą „Щит безопасности KIS” (Strażnik Bezpieczeństwa KIS).

Wtyczka wykryta przez Antywirusa Dr.Web jako Trojan.BPLug.1041 zawiera dwa zamaskowane pliki JavaScript. Głównym celem trojana jest wstrzykiwanie samodzielnego kodu w strony www pobierane przez użytkownika. Na wszystkich stronach www ten złośliwy program blokuje wyświetlanie obcych reklam pochodzących ze wszystkich domen, za wyjątkiem wymienionych w konfiguracji wirusa.

Oddzielna funkcja jest odpowiedzialna za wyświetlanie reklam. Z pomocą tej funkcji trojan analizuje zawartość strony www otwartej przez użytkownika. Jeśli jej kontekst zawiera treści pornograficzne, Trojan.BPLug.1041 ładuje z dwóch odrębnych sieci odpowiadającą im reklamę. To rozszerzenie zawiera również listę stron www, na których trojan nie wyświetla reklam. Na tej liście znajdują się takie strony jak: fsb.ru, gov.ru, government.ru, mos.ru, gosuslugi.ru. Trojan.BPLug.1041 wysyła na serwer cyberprzestępców ID użytkownika i dane o innych rozszerzeniach Chrome zainstalowanych na zainfekowanym komputerze. Podczas wysyłania danych, serwer może określić trojanowi, które z tych rozszerzeń powinny być wyłączone.

Jeśli użytkownik zaloguje się do sieci społecznościowej „Odnoklassniki”, Trojan.BPLug.1041 próbuje zapewnić pewnej aplikacji dostęp do API tej sieci społecznościowej, korzystając z nazwy logowania użytkownika i autoryzacji z użyciem protokołu OAuth. Podczas tego procesu, wymagane są uprawnienia do zmiany statusu, przeglądania, edycji i ładowania zdjęć, przeglądania i wysyłania wiadomości w imieniu użytkownika i paru innych operacji. Można przypuszczać, że ta funkcja jest wykorzystywana przez cyberprzestępców do celów reklamowych, np. do promowania grup, wysyłania wiadomości typu spam, oddziaływania na wyniki głosowań lub ankiet.

Warto zauważyć, że w sklepie online z rozszerzeniami do Chrome są dostępne trzy rozszerzenia o nazwie „Щит безопасности KIS”. Te wszystkie rozszerzenia są stworzone przez tego samego autora, jakkolwiek dwa z nich nie działają prawidłowo. Całkowita liczba przeprowadzonych instalacji tych wtyczek wynosi 30 tysięcy.

Analitycy bezpieczeństwa Doctor Web ostrzegają użytkowników przed pobieraniem i instalowaniem podejrzanych rozszerzeń otrzymywanych z niepewnych źródeł. Jeśli nie możesz zamknąć zakładki wyświetlającej się w przeglądarce, możesz otworzyć Menedżera Zadań dostępnego w menu Google Chrome i zakończyć pracę odpowiedniego procesu przeglądarki. Sygnatura Trojan.BPLug.1041 została dodana do bazy wirusów Dr.Web, a strony www, z których ten trojan był dystrybuowany zostały dodane do listy stron niezalecanych do odwiedzania. Administratorzy zhakowanych stron www zostali niezwłocznie ostrzeżeni o tym incydencie.

źródło: Doctor Web

Kan