Symantec: новый троян встраивается в браузер, показывая выплывающие окна

1174

Корпорация Symantec сообщает об обнаружении троянской программы, которая выводит пользователей на потенциально опасный контент и демонстрирует им рекламные сообщения в виде всплывающих в браузере окон. При этом сами открываемые сайты не заражены и вообще никак не связаны с содержимым всплывающего окна. Программа использует Sender Policy Framework (SPF) для обеспечения устойчивой связи между зараженными компьютерами и серверами злоумышленников и обходит типовые средства защиты.

Для вирусописателей очень важно иметь надежную связь между их вредоносной программой, оперирующей на зараженных компьютерах, и собственным сервером, так, чтобы вредоносная программа могла получать команды и обновления в любое время. Однако на пути взаимодействия между вредоносной программой и сервером управления может стоять шлюз или локальный брандмауэр, или их соединение может блокироваться системой предотвращений вторжений (intrusion prevention system, IPS). Поэтому авторы вредоносных программ пытаются обойти подобные средства защиты. Недавно эксперты Symantec обнаружили троянскую программу, которая использует для этих целей технологию SPF (Sender Policy Framework – среда политик отправителя), изначально созданную для подтверждения легитимности почтовых серверов с целью фильтрации спам-рассылок.

Принцип SPF – это отправка запроса к DNS-серверу и анализ его ответа. Если DNS-сервер отправителя настроен на использование SPF, DNS-ответ содержит SPF в виде текстовой (.txt) строки.

Идея автора вредоносной программы состоит в том, что при использовании SPF домен или IP-адрес может быть получен через DNS-запрос, при этом сам запрос не обязательно должен исходить непосредственно от заражённого компьютера. Обычно в сети присутствует локальный кэширующий DNS-сервер, который отправляет запросы, полученные с локальных компьютеров, от своего имени.

Недавно специалистами Symantec был обнаружен троянец (идентифицируемый продуктами Symantec как Trojan.Spachanel), который использует SPF. Вирус взламывает веб-браузер и встраивает вредоносный контент в каждую HTML-страницу. Схема, по которой осуществляется такая атака, представлена ниже.

Для передачи вредоносных доменов и IP-адресов автор вируса решил использовать SPF, скорее всего для того, чтобы спрятать взаимодействие с ними в легитимных DNS-запросах. Если вредоносная программа пытается соединиться с сервером злоумышленника через порт с большим номером по стандартному протоколу, то она может быть заблокирована шлюзом, брандмауэром или системой предотвращения вторжений. В некоторых случаях определённые домены блокируются локальным DNS­-сервером, однако этот вирус создает запрос к домену, который чаще всего проходит через большинство фильтров. Более того, DNS-запросы, как правило, отправляются не напрямую – обычно в сети присутствует кэширующий DNS-сервер, что сильно снижает вероятность блокировки данного запроса брандмауэром. Таким образом, злоумышленник получает возможность поддерживать стабильную связь между вредоносной программой и управляющим сервером.

Встроенный JavaScript-тэг загружает вредоносный контент, который создает всплывающее окно в нижнем левом углу окнабраузера. При этом сами открываемые сайты не заражены и вообще никак не связаны с содержимым всплывающего окна (на рис. 3 это показано на примере главной страницы сайта Symantec). Таким образом, поскольку Java-скрипт встраивается в браузер, а не в сам веб-сервер, всплывающие окна не будут отображаться на незараженных компьютерах.

Пока экспертам встречаются следующие четыре типа всплывающих окон:

Четыре типа всплывающих окон, инициируемых вредоносной программой

Согласно тестам Symantec, если кликать на кнопки окон «PC Speed Test» и «PC Performer Test», пользователь перенаправляется на сайт, предлагающий для загрузки потенциально опасное содержимое. Всплывающее окно «how fast can you build your muscle mass?» (как быстро вы можете набрать мышечную массу?) похоже на рекламный баннер, анажатие на ссылку на момент написания данного материала ни к чему не приводило. Всплывающее окно с captcha-изображением наблюдалось лишь в одной атаке, и пока не определено, какая атака за ним стоит.

Очевидно, что целью этих атак является зарабатывание денег за счёт предложения загрузки потенциально опасного контента и путем набора кликов по рекламным ссылкам.

Для обеспечения безопасности эксперты Symantec рекомендуют вам использовать лишь актуальные версии антивирусного ПО и своевременно устанавливать обновления всех ваших программных продуктов.

7 февраля 2013

08:00

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Представлен смартфон Samsung Galaxy Note8: Прием предварительных заказов начнется 24 августа47

Microsoft Project Brainwave — искусственный интеллект в реальном времени: Высокое быстродействие обеспечено использованием FPGA 3

Массивная утечка сведений о камере Nikon D850 произошла накануне анонса: В камере используется датчик изображения типа CMOS разрешением 45,7 Мп14

Ассортимент Iogear пополнила стыковочная станция GUD3C03 с портом USB-C: Кроме того, представлено устройство для работы с картами памяти GRF3C15, тоже оснащенное портом USB-C

Представлены жесткие диски Toshiba X300 объемом до 8 ТБ: Серия HDD X300 предназначена для высокопроизводительных ПК 10

Представлен Meizu M6 Note — самый значимый бюджетный смартфон компании за последнее время: Meizu M6 Note получил сдвоенную камеру и SoC Snapdragon 6259

Владельцы БПЛА DJI Spark должны обновить прошивку до 1 сентября или их дроны больше не взлетят: Компания приняла решение об обязательном обновлении прошивки17

Илон Маск впервые показал космический скафандр SpaceX : Разработчикам было крайне сложно совместить высокую степень защиты, функциональность и внешний вид скафандра63

Смартфон HTC U11 научился записывать видео в разрешении 1080p при 60 к/с: Также обновление улучшает работу всей системы в целом и повышает безопасность пользовательских данных4

Опубликовано первое официальное изображение смартфона Samsung Galaxy Note 8 в цвете Orchid Gray: Анонс Samsung Galaxy Note 8 ожидается сегодня в 18:00 по московскому времени10

Умный дверной замок Latch C оценен в $299: Вы можете пересылать посетителям или, например, курьеру, который доставляет посылку, одноразовые виртуальные ключи21

Владельцы некоторых водонепроницаемых смартфонов Sony могут получить 50% их стоимости : Пару лет назад Sony изменила правила использования своих защищенных устройств под водой21

Названы цены смартфонов Sony Xperia XZ1 и XZ1 Compact : Анонс новых смартфонов Sony ожидается 31 августа11

Аналитик компании Rosenblatt утверждает, что в этом полугодии будет выпущено 35-40 млн смартфонов Apple iPhone 8: В текущем квартале будет собрано всего 5 млн аппаратов Apple iPhone с экранами OLED7

Новый фильтр 3M, защищающий изображение на экране от посторонних глаз, на 30% прозрачнее своего предшественника: Кроме того, он уменьшает долю синего цвета8

Смартфон Vivo V7+ получит революционную фронтальную камеру: 7 сентября компания Vivo проведет пресс-конференцию, на которой будет представлен новый смартфон Vivo V7+1

Смартфон Meiigoo S8 можно спутать с Samsung Galaxy S8: В продажу новинка поступит в сентябре3

Новая экшн-камера Xiaomi Mijia Compact Camera с поддержкой RAW и 4К оценена в $105: Камера оснащена однокристальной системой Ambarella A12S75 и датчиком изображения Sony IMX3174

Fujitsu готовит к продаже производство смартфонов; в числе возможных покупателей значится Lenovo: Первый раунд торгов может начаться уже в сентябре1

Покупатели Samsung Galaxy Note 8 получат привлекательные бонусы: Samsung Galaxy Note 8 должны представить уже сегодня в 18:00 мск6

Toshiba и Western Digital могут договориться до конца месяца: Toshiba сделала приоритетными переговоры о продаже полупроводникового производства с Western Digital 1

Подтверждено существование версий Meizu M6 Note с Helio P25 и Snapdragon 625: Анонс Meizu M6 Note состоится уже сегодня

Самоуправляемый погрузчик Seegrid GP8 Series не требует вспомогательной инфраструктуры : Машина построена на улучшенной версии платформы Seegrid Smart Platform2

Фото дня: модуль 3D-камеры смартфона Apple iPhone 8: Анонс смартфона Apple iPhone следующего поколения ожидается осенью12

Объем внешнего накопителя WD My Book Duo достигает 20 ТБ: My Book Duo — самый емкий накопитель Western Digital

Объем рынка флэш-памяти типа NAND во втором квартале 2017 года превысил 13 млрд долларов: За квартал рынок флэш-памяти типа NAND вырос на 8%

Появились первые изображения камеры Olympus OM-D E-M10 Mark III, названа цена : Производитель предложит два варианта внешнего оформления камеры: черный и серебристый11

Красногорский механический завод им. Зверева готовит к выпуску полнокадровую беззеркальную камеру: Фотоаппарат будет носить марку «Зенит» 40

Huawei выпустит новый флагманский смартфон в двух версиях: Mate 10 и Mate 10 Pro: Huawei Mate 10 получит обычный экран, а Mate 10 Pro — более вытянутый 6

1318

iXBT TV

  • Обзор изогнутого монитора Samsung C24FG70FQI с поддержкой AMD FreeSync и частоты 144 Гц

  • Электро-Maybach, топовая Nokia и действительно оригинальный смартфон

  • Обзор видеоускорителя AMD Radeon RX Vega 64

  • Обзор легкой, компактной и дешевой мясорубки Kitfort KT-2101 Carnivora

  • Обзор беззеркальной фотокамеры Fujifilm X-T20

  • Обзор кинотеатрального DLP-проектора BenQ W11000 с эмуляцией разрешения 4К

  • AMD Ryzen Threadripper 1920Х и 1950X — тестирование 12-ядерного и 16-ядерного процессоров

  • Обзор мини-ПК ECS Liva Z на базе процессора Apollo Lake

  • Самый лучший процессор, неудачи Microsoft, гибкие наушники Samsung

  • Обзор цветного МФУ Xerox VersaLink C405 для малых и средних офисов

  • Обзор умного чайника Redmond SkyKettle RK-G200S с подсветкой и нагревом воды до нужной температуры

  • Конфигурируем мини-ПК: изучаем влияние памяти и накопителя на быстродействие системы

1212

Календарь

февраль
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать