Новый вариант трояна Kovter маскируется под обновления для Firefox
Исследователи компании Barkly сообщили о новой разновидности трояна Kovter, маскирующейся под легитимные обновления для Firefox. Вредонос распространяется с помощью атак drive-by-download: когда пользователь посещает зараженный сайт, ему предлагается установить поддельное обновление для браузера.
По словам исследователей, последний вариант Kovter обходится без файлов и, похоже, использует легитимный сертификат, выпущенный Comodo. Эксперты уже уведомили компанию о проблеме, и сертификат вскоре будет отозван.
Вредонос устанавливает на инфицированную систему удаленно обновляемые трояны для доступа к компьютеру, кликает на рекламные ссылки, а также выполняет функции вымогательского ПО. После выполнения на системе жертвы вредонос записывает встроенный зашифрованный скрипт в несколько разных участков реестра Windows и использует PowerShell.exe для вредоносных действий.
Проанализировав ключ реестра, исследователи нашли еще одну зашифрованную программу PowerShell. «В итоге мы обнаружили, что PowerShell используется для внедрения в систему шелл-кода», - сообщили эксперты.
Пользователям рекомендуется воздержаться от установки каких-либо патчей для Firefox, выпущенных не в соответствии со стандартным циклом выпуска обновлений компании Mozilla.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш