Троян Bicololo направлен на российские соцсети

Антивирусная компания Eset сообщает новые подробности о трояне Bicololo, нацеленном на пользователей российских социальных сетей. Win32/Bicololo.A – распространяется в социальных сетях под видом ссылок на графические файлы с расширением .jpg. При активации подобной ссылки вместо изображения загружается malware (лоадер и hosts-троян).

Попав на компьютер, malware модифицирует системный файл hosts, чтобы при попытке пользователя зайти на определенный легальный сайт, тайно перенаправлять его на фейк-страницу, принадлежащую хакерам. В файле hosts, модифицированном программой Win32/Bicololo, были обнаружены ссылки на сайты «Одноклассники» и «Вконтакте», а также на портал Mail.ru – т.е. угроза нацелена на пользователей именно этих ресурсов.

Хотя измененный файл hosts содержит адреса мобильных версий сайтов (m.ok.ru, m.vk.com и др.), угроза Win32/Bicololo не распространяется на мобильные платформы и рассчитана только на семейство операционных систем Windows. Эксперты обнаружили образцы описываемой модификации Win32/Bicololo в один день в четырех разных странах: Аргентине, Бразилии, Колумбии и Чили. Именно поэтому сначала предполагалось, что эта угроза имеет латиноамериканское происхождение.

Тем не менее, детальный анализ угрозы подтверждает ее российские корни: в коде Win32/Bicololo встречаются комментарии на русском языке. Кроме того, в одном из файлов, создаваемых вредоносной программой, была обнаружена фраза «стою у трапа самолета». Это строка из песни «Аэропорт» 1987 года, которую исполнял Александр Барыкин.

По данным экспертов Eset, сайты с доменами .ar, .br, .cl и .co, использованные для размещения вредоносного ПО, являются вполне легальными ресурсами. Они специально были заражены с целью распространения данной модификации Win32/Bicololo. Скорее всего, эти сайты были обнаружены хакерами путем автоматического сканирования на предмет уязвимостей.