Банковский троян Caphaw распространяется через рекламу YouTube In-Stream


Chislo virusov rastetСпециалисты по безопасности компании Bromium Labs выявили, что банковский троян Caphaw начал распространяться через рекламную сеть YouTube. Они утверждают, что рекламные объявления YouTube In-Stream перенаправляли пользователей на вредоносные web-сайты с набором эксплоитов Styx.

Данные страницы эксплуатировали уязвимости, существующие на системах жертв, посредством осуществления атак типа drive-by-download. Именно при помощи этих атак и происходило заражение компьютеров вирусом Caphaw. Уже после установки на систему вредоносная программа идентифицировала версию Java, на основе которой запускала подходящий эксплоит.

Princip rasprostraneniya YouTube In-Stream

Эксперты компании еще не установили способ, используемый злоумышленниками для обхода внутренней проверки рекламы Google. Хотя представители поискового гиганта сказали, что сначала изучают инцидент, а лишь затем примут соответствующие меры.

В компании Bromium Labs рассказывают, что банковский троян для соединения с C&C-сервером использовал алгоритмы создания доменных имен (Domain Generation Algorithm, DGA), а его контрольный сервер находится на территории Европы.

В настоящее время уже несколько антивирусных компаний отметили Caphaw как "вредоносный".

Количество жертв данной вредоносной кампании, пока неизвестно. Однако стоит отметить, что уязвимость в Java, эксплуатируемая злоумышленниками, Oracle исправила еще в прошлом году. Поэтому настоятельно рекомендуется вовремя обновлять продукцию Java, а также антивирусные решения и операционные системы.


Обновлено (25.02.2014 21:15)