Компания ESET, сообщает о растущей активности трояна Win32/Bicololo, нацеленного на русскоязычных интернет-пользователей. Win32/Bicololo – троянская программа, целью которой является кража персональной информации пользователей. Экспертами ESET обнаружена повышенная активность распространения данной угрозы – она рассылается под видом ссылок на графические файлы со стандартным расширением .jpg. При активации подобной ссылки, вместо открытия изображения начинается загрузка вредоносного файла.
Попадая на компьютер пользователя, вредоносная программа модифицирует системный файл hosts и прописывает в нем IP-адреса принадлежащих злоумышленникам фишинговых сайтов. При попытке перейти на легальный сайт, пользователь автоматически перенаправляется на его фальшивый аналог.
Рассматриваемая модификация Win32/Bicololo.A нацелена на персональные данные пользователей Вконтакте и Одноклассников (суммарное количество аккаунтов превышает 400 млн), а также на владельцев почты на сервисе Mail.ru (число пользователей превышает 30 млн человек). Адреса именно этих порталов, включая адреса мобильных версий сайтов, программа прописывает в файле hosts.
Вся информация, введенная пользователями на поддельных ресурсах, автоматически попадает к злоумышленникам. Стоит отметить высокое качество фальшивых страниц – так, фишинговый сайт, маскирующийся под главную страницу Вконтакте, отличается от оригинала лишь невозможностью сменить язык или воспользоваться защищенным https-соединением.
В 2013 году семейство троянов Win32/Bicololo неизменно попадает в рейтинг наиболее распространенных в России угроз, ежемесячно составляемый аналитиками ESET.
Рисунок. Активность Win32/Bicololo в мире.
