Google оказался уязвимым перед новым вирусом: крадет пароли и личные данные
В системе Google появился вредоносный вирус, который поселялся в системе компьютеров, похищая все данные пользователей
Хакеры из Minerva Labs обнаружили сложный вариант распространения малвари (вредоносная программа - прим. ред.) AZORult. AZORult - известный троян-стилер, который также может служить загрузчиком для других вредоносных файлов.
AZORult способен похищать самые разные пользовательские данные: информацию из файлов, пароли, куки, историю браузеров, банковские учетные данные и информацию о криптовалютных кошельках.
Специалисты получили от пользователя сети файл GoogleUpdate.exe, подписанный действующим сертификатом, однако вызвавший подозрения у защитного решения Anti-Evasion Platform.
Этот файл легко можно было бы спутать с легитимным средством обновления Google практически по всем параметрам, он имел верную иконку и уже упомянутый выше сертификат.
Изучив странное «средство обновления» более внимательно, исследователи вредоносного файла обнаружили, что он подписан не Google, а сертификатом Singh Agile Content Design Limited, выданным в ноябре прошлого года.
Глубокий анализ данных выявил, что под настоящий GoogleUpdate маскировался AZORult. Троян удалось «опознать» сразу по нескольким признакам: запросы HTTP POST, который тот отправлял /index.php на домен в зоне.bit; типичное для данной малвари использование User-Agent Mozilla/4.0.
Специалисты пишут, что вредонос «придерживался легенды» и маскировался под средство обновления Google до конца. Так, малвари пряталась на самом виду и размещалась в папке с путем C:Program FilesGoogleUpdateGoogleUpdate.exe, что позволяло ей прописаться в системе и работать с привилегиями администратора.
В итоге, малвари, которая уже подменила собой настоящее средство обновления Google, не приходилось вмешиваться в реестр Windows и создавать для себя отдельные запланированные задания. AZORult пользовался приписанными к Google заданиями GoogleUpdateTaskMachineCore и GoogleUpdateTaskMachineUA, а также соответственными ключами реестра.
В компьютер пользователя вредоносное ПО попадает во время скачивания так называемых кряков (программ для взлома лицензионного софта и игр), а также приложения для блокировки рекламных баннеров в браузере.
Благодаря вирусу на компьютер загружаются четыре файла, которые парализуют работу операционной системы. При этом на экране появляется уведомление об обновлении Windows.
Вредоносная программа также способна шифровать новые файлы. А после заражения пользователь может найти контакты вымогателей. По словам аналитиков, вернуть данные без оказания помощи хакерами пока невозможно.