Тактика ложных антивирусов 10-летней давности вновь возвращается


AkamaiИсследователь безопасности 3x0a выявил новую вредоносную кампанию njRat. В рамках данной кампании злоумышленники применяют довольно старые техники. К одной из таких техник можно отнести использование скомпрометированных web-сайтов в качестве прокси для C&C-сервера и тактика FakeAV. Также, несмотря на то, что использование фальшивого антивируса для заражения компьютеров было очень популярно лет десять тому назад, подобная техника применяется и до сих пор.

"Подхватить" инфекцию можно через:

  • Интернет;
  • SMS-сообщения;
  • спам;
  • личные сообщения в мессенджерах и т.д.


После того, как потенциальная жертва перешла на скомпрометированный сайт, в окне браузера начинают показываться всплывающие уведомления. В них обращают внимание пользователя на то, что Windows Security обнаружил на ПК критическую активность и для его безопасности будет проведено быстрое сканирование системных файлов. После этого в браузере появляется окно наподобие "Мой компьютер" в Windows XP, в котором уже сообщается, что ПК заражен множеством вирусов.

Нажав на любую кнопку на странице, пользователь инициирует загрузку Antivirus2015.exe. Стоит понимать, что загружаемый антивирус ни что иное, нежели фальшивка. При запуске этого фальшивого антивируса появляется окно, в котором на ломанном английском сообщается, что на компьютере вирусы не обнаружены - "Your Computer not found of virus". Однако уже поздно, т.к. поддельное антивирусное ПО добавляет себя в процесс автозагрузки ПК, в результате чего запускается при каждом включении компьютера.

По словам исследователя, кампания njRat длится уже довольно долго. Например, наиболее ранний из обнаруженных им образцов вредоносного ПО был добавлен 7 месяцев назад. В свою очередь IP-адрес C&C-сервера свидетельствует о том, что управление операцией осуществляется из Саудовской Аравии.


Обновлено (05.06.2015 10:45)