В кампании вредоносного ПО используется умная подсказка с вводом кода, чтобы обманом заставить пользователей обойти предупреждения браузеров о загрузке банковского трояна Gozi (также известного как Ursnif).
Вчера исследователь безопасности MalwareHunterTeam поделился с BleepingComputer подозрительным URL-адресом, который загружает файл при попытке просмотреть встроенное видео YouTube о женской тюрьме в Нью-Джерси.
Встроенное YouTube-видео на вредоносный сайт
Источник: BleepingComputer
Когда вы нажимаете кнопку воспроизведения, браузер загружает файл с именем console-play.exe [ VirusTotal ], а сайт отображает на экране поддельное изображение reCaptcha.
Поскольку этот файл является исполняемым, Google Chrome автоматически предупреждает, что файл может быть вредоносным, и запрашивает, хотите ли вы «Сохранить» или «Отменить» файл.
Чтобы обойти это предупреждение, злоумышленники отображают поддельное изображение reCaptcha, предлагающее пользователю нажать на клавиатуре кнопки B, S, Tab, A, F и Enter, как показано ниже.
Поддельный reCaptcha обходит предупреждения браузера
Источник: BleepingComputer
При нажатии клавиш B, S, A и F ничего не происходит, нажатие клавиши Tab заставит кнопку «Сохранить» сфокусироваться, а затем нажатие клавиши «Enter» будет действовать как щелчок по кнопке, вызывая браузер, чтобы загрузить и сохранить файл на компьютер.
Как видите, эта поддельная подсказка с кодами ввода капчи - это умный способ обманом заставить пользователя загрузить вредоносный файл, который, как предупреждает браузер, может быть вредоносным.
По прошествии определенного времени видео будет автоматически воспроизводиться, потенциально заставляя пользователей думать, что успешная «капча» позволила это.
Сайт распространяет троян Ursnif, ворующий информацию
Если пользователь запускает исполняемый файл, он создаст папку в % AppData% \ Bouncy для .NET Helper и установит множество файлов. Все эти файлы являются ловушкой, за исключением запускаемого исполняемого файла BouncyDotNet.exe .Извлеченная папка Bouncy для .NET Helper
Источник: BleepingComputer
Во время работы BouncyDotNet.exe будет читать различные строки из реестра Windows, используемые для запуска команд PowerShell.
Подпись
Источник: BleepingComputer
Эти команды PowerShell скомпилируют приложение .NET с помощью встроенного компилятора CSC.exe, который запускает DLL для банковского трояна Ursnif .
После запуска Gozi украдет учетные данные, загрузит на компьютер дополнительные вредоносные программы и выполнит команды, удаленные злоумышленниками.
Если вы заражены Ursnif, вам следует немедленно сменить пароли для своих онлайн-аккаунтов.
Перевод - Google
Bleeping Computer