Как выяснили специалисты «Яндекса» и «Доктора Веба», троянская программа под названием Trojan.MulDrop6.44482 попадает на компьютер в виде установщика. Первым делом она проверяет, нет ли на компьютере антивирусов, и в случае, если компьютер «чист», проверяет локализацию операционной системы.
Если операционная система не является российской, троян просто самоуничтожается.
Но в случае, если вредоносное ПО «учует» Windows россиянина, начинается активная работа по заражению. Он сохраняет себя на диске в виде 7z-архива, защищенного паролем. Постепенно он распаковывается по одному файлу, среди которых представлены и другие трояны. Один из них — Trojan.Inject2.24412 — встраивается в запускаемые на зараженном компьютере процессы вредоносных библиотек. Тем не менее самым опасным трояном среди прочих является кейлоггер Trojan.PWS.Spy.19338. Он способен перехватывать вводимые с клавиатуры данные в определенных программах и полях. Согласно информации «Доктора Веба», среди этих программ значатся 1C, Skype, СБиС++, а также программы из пакета Microsoft Office.
Как рассказал «Газете.Ru» аналитик компании «Доктор Веб» Павел Шалин, трояны действуют сообща, поскольку не являются вирусами и не могут распространяться самостоятельно.
Аналитик добавил, что исследованный образец злоумышленники скомпилировали 4 июня 2016 года, однако первый похожий семпл был обнаружен еще в мае 2015-го.
Обычно подобных троянцев пользователи скачивают из интернета сами под видом различных «полезных» программ, например проигрывателя Adobe Flash или чего-то подобного, либо получают в виде вложений в сообщения электронной почты.
Это самые распространенные каналы доставки троянцев на компьютеры пользователей.
Подробно принцип работы трояна специалисты описали в техническом отчете. Если кратко,
троян может сохранять в специальном журнале и передавать преступникам нажатия клавиш в окнах ряда программ, отсылать киберпреступникам данные об ОС на зараженной машине, а также скачивать и запускать другие программы.
Иными словами, этот троянец шпионит за действиями пользователя в используемых для работы программах, собирает важную информацию, например логины и пароли. А возможность скачать и запустить любую программу означает, что через этого троянца можно получить любой другой троянец или вирус.
Например, по завершении своей шпионской деятельности злоумышленник всегда может заблокировать компьютер или запустить на нем шифровальщика ради дополнительного дохода или просто с целью замедлить реакцию на несанкционированные действия, такие как перевод денег с корпоративного счета.
Кроме того, аналитик отметил, что случаи заражения компьютеров по «национальному» признаку достаточно частая практика.
«Существуют троянцы-вымогатели, демонстрирующие свои требования на каком-то конкретном иностранном языке. Иногда разработчики вредоносных программ организуют специальные «партнерские программы», привлекая к распространению вирусов и троянцев других злоумышленников», — рассказал аналитик.
В этом случае цель трояна — собрать информацию из отечественных бухгалтерских программ, поэтому иностранцы создателям этого вредоносного ПО неинтересны.
Компания Group-IB, специализирующаяся на предотвращении и расследовании киберпреступлений, также отреагировала на троянца-кейлоггера. По словам заместителя руководителя лаборатории компьютерной криминалистики компании Сергея Никитина, подобные трояны, действующие только на ОС с определенной локализацией, появились еще в 2009 году.
«Ничего принципиально нового в данной ситуации нет. Встречаются и альтернативные варианты, когда вирус строго не работает в ру-зоне. Как правило, это связано с прагматическими, а не политическими вещами. Например, потому, что у хакеров имеется схема обналичивания только через Россию или, наоборот, хакеры знают, что преследовать их будут только из-за хищений внутри страны», — считает Никитин.
В данном случае заметна нацеленность на программы компании 1С, которые широко представлены именно в странах СНГ. Отсеивание по русскому языку ОС позволяет хакерам не тратить время и внимание на тех клиентов, через которых они не могут совершить мошенничество.
Тем не менее ведущий аналитик ESET Russia Артем Баранов считает, что трояны, ориентированные на жителей определенного региона, появляются нечасто. По его мнению, такой подход ограничивает круг потенциальных жертв и тем самым снижает доходы злоумышленников.
Поскольку чаще всего вредоносные программы интернет-пользователи «подхватывают» одним и тем же способом, то и рекомендации по защите от них достаточно традиционны. Аналитики сходятся во мнении, что для безопасности личных или корпоративных данных прежде всего нужно следовать нескольким элементарным правилам: использовать надежный и современный антивирус, вовремя обновлять антивирусные базы, проводить проверки дисков и с осторожностью загружать приложения из сети.