Выявить вредоносное ПО можно по размеру файла установки - у фальшивой версии PuTTY он намного больше.
Специалисты компании Symantec обнаружили созданную злоумышленниками вредоносную версию SSH-клиента PuTTY, которая позволяет получать доступ к компьютеру жертвы и похищать информацию. Распространение трояна началось еще в конце 2013 года, однако тогда оно было минимальным.
При помощи основанного на коде PuTTY трояна злоумышленники перенаправляют пользователя со страницы скомпрометированного сайта стороннего разработчика на созданный собственными силами ресурс. В случае, если для связи с другим компьютером или сервером используется вредоносная версия PuTTY, злоумышленники получают присланные с устройства жертвы конфиденциальные данные, например, логины и пароли.
Специалисты Symantec сообщили, что распространение вредоносного приложения происходит в три этапа:
1. Пользователь осуществляет в интернете поиск по запросу «PuTTY».
2. Поисковый движок выводит множество результатов. Вместо посещения официального сайта разработчика PuTTY жертва переходит на скомпрометированный ресурс стороннего разработчика.
3. Ресурс несколько раз перенаправляет пользователя, и в результате жертва попадает на сайт, где загружает поддельную версию PuTTY.
Эксперты также сообщили, что файл установки вредоносной копии PuTTY имеет намного больший размер, чем установщик последней версии настоящего приложения.
Обычно PuTTY использует для подключения стандартный SSH URL –
«ssh://[USER NAME]:
[PASSWORD]@[HOST NAME]:[PORT NUMBER]».
Фальшивая версия программы копирует SSH URL-адрес подключения, шифрует его и отправляет злоумышленникам.
Источник: securitylab.ru
Комментариев нет:
Отправить комментарий