ESET повідомляє нові подробиці про троянську програму Win32/Bicololo, націлену на користувачів російських соціальних мереж.
Win32/Bicololo.A – троян, метою якого є крадіжка персональних даних інтернет-користувачів. Ця загроза поширюється під виглядом посилань на графічні файли з розширенням .jpg. При активації такого посилання замість зображення завантажується шкідливе ПЗ.
Потрапивши на комп'ютер, шкідлива програма модифікує системний файл hosts, щоб при спробі користувача зайти на певний легальний сайт, таємно перенаправляти його на фальшиву сторінку, що належить зловмисникам. Вся інформація, введена користувачем на такій сторінці, автоматично потрапляє до зловмисників. У файлі hosts, модифікованому програмою Win32/Bicololo, були виявлені посилання на сайти «Однокласники» та «Вконтакте», а також на портал Mail. ru – тобто. загроза націлена на користувачів саме цих ресурсів. Слід зазначити, що хоча змінений файл hosts містить адреси мобільних версій сайтів (m.ok.ru, m.vk.com та ін.), загроза Win32/Bicololo не поширюється на мобільні платформи і розрахована лише на сімейство операційних систем Windows.
Експерти ESET виявили зразки описуваної модифікації Win32/Bicololo в один день в чотирьох різних країнах: Аргентині, Бразилії, Колумбії та Чилі. Саме тому спочатку передбачалося, що ця загроза має латиноамериканське походження. Тим не менш, детальний аналіз загрози підтверджує її російське коріння: у коді Win32/Bicololo зустрічаються коментарі російською мовою. Крім того, в одному з файлів, створюваних шкідливою програмою, було виявлено фразу «стою біля трапа літака». Це рядок із пісні «Аеропорт» 1987 року, яку виконував Олександр Барикін.
За даними експертів ESET, сайти з доменами. .cl і .co, використані для розміщення шкідливого ПЗ, є повністю легальними ресурсами. Вони спеціально були заражені програмами-зломщиками з метою поширення цієї модифікації Win32/Bicololo. Швидше за все, ці сайти були виявлені зловмисниками шляхом автоматичного сканування на предмет уразливостей. Крім того, у своїй схемі кібератаки злочинці використовували два сервери. На одному були розміщені фальшиві аналоги головних сторінок Вконтакте, Однокласники і Mail.ru, другий використовувався для зв'язку зі шкідливою програмою. Ці сервери могли бути орендовані чи зламані кіберзлочинцями. Судячи з IP-адрес, вони розташовані за межами Латинської Америки.
У 2013 році сімейство троянів Win32/Bicololo незмінно потрапляє в рейтинг найпоширеніших у Росії шкідливих програм, щомісячно складається аналітиками ESET.
Необхідно відзначити, що різні модифікації Bicololo можуть поширюватися різними способами, маскуючись під легальні програми або файли. Компанія ESET рекомендує бути обережними, не відкривати посилання в незапитаних повідомленнях і не відключати антивірусне ПЗ.
