Недавно появились спамовые сообщения, содержащие ложные новости о бразильском футболисте Неймаре да Сильва Сантосе, играющего за футбольный клуб «Барселона». В последние дни Неймар оказался в центре СМИ по нескольким причинам: одна касается нарушений, которые были допущены при подписании им договора с «Барселоной», что привело к достаточно серьезным последствиям, таким как отставка Президента ФК «Барселона». Другой горячей темой является его возможный разрыв с его подружкой – бразильской моделью Бруной Маркуезине, хотя она оба опровергают это.
Именно эта последняя «новость» и используется в качестве приманки мошенническим почтововым сообщением, содержащим тему «Mostra tudo Video intimo de Neymar e Bruna Marquezine!!» («Приватное видео Неймара и Бруны Маркуезине, показывающее все!!»), а также ссылку на скачивание видео. Имя скачиваемого файла — Video_Intimo.zip, при его открытии выясняется, что оно содержит файл Video_Intimo.cpl.
После запуска данный файл пытается открыть веб-сайт, который сообщает, что на нем проводятся профилактические работы, а потому невозможно открыть видео. Между тем в фоновом режиме он подключается к различным URL для скачивания и установки вредоносной программы. До сих пор было выяснено, что скачиваемая программа является банковским трояном, разработанным для кражи регистрационных данных пользователей бразильских банков.
Скачивается два различных файла, а также в реестре создается запись, благодаря которой эти файлы гарантированно выполняются при каждом запуске компьютера. Чтобы остаться незамеченной, эта запись использует название «GForce Update Monitor», а вредоносная программа копирует себя под случайным именем внутри папки под названием GForceCmp. Название GForce было выбрано в силу того, что оно связано с хорошо известными графическими картам от компании Nvidia, в результате чего многие пользователи знают это название и могут подумать, что ничего «криминального» здесь нет. Однако эта программа способна не только перехватывать все, что мы набираем на компьютере, но также делает скриншоты при использовании Internet Explorer.
Данная вредоносная программа обнаруживается как Trj/Banker.LDW.
Оригинал статьи — Neymar used as bait to install malware
Автор – Luis Corrons
