Специалисты компании Trend Micro сообщают, что пользователи, которые желают установить браузер Google Chrome, находятся под угрозой компрометации. Мошенники для распространения банковского трояна используют домены Facebook и Google.
«Недавно мы обнаружили подозрительные URL адреса, на которых размещены вредоносные файлы под названием «ChromeSetup.exe», — сообщают эксперты. По их словам, файл является многокомпонентным банковским трояном.
Вероятнее всего атака ориентирована на пользователей из Бразилии, поскольку в некоторых адресах используется домен верхнего уровня .br. Всего специалистам удалось обнаружить шесть адресов, при обращении к которым пользователь переадресовывается на один из двух ресурсов, подконтрольных злоумышленникам:
· hxxp://br.msn.com/ChromeSetup.exe
· hxxp://www.facebook.com.br/ChromeSetup.exe
· hxxp://www.facebook.com/ChromeSetup.exe
· hxxp://www.globo.com.br/ChromeSetup.exe
· hxxp://www.google.com.br/ChromeSetup.exe
· hxxp://www.terra.com.br/ChromeSetup.exe
Вредоносное приложение, содержащееся в файле, является банковским трояном TSPY_BANKER.EUIQ. При заражении системы он передает злоумышленникам такие данные как IP-адрес, тип операционной системы, а затем загружает на компьютер жертвы конфигурационный файл.
При попытке посетить популярные банковские порталы с зараженной системы, браузер незаметно перенаправляет пользователя на поддельный портал. Кроме того, один из компонентов трояна удаляет «GbPlugin» — программное обеспечение банка, предназначенное для повышения уровня безопасности при проведении денежных транзакций.
Источник: securitylab.ru