Trojan.Hiloti - подменяет поисковые запросы


Trojan.Hiloti - семейство вредоносных программ, предназначенных для подмены поисковой выдачи. С целью увеличения количества установок вредоносного ПО, злоумышленники организовали специальную партнерскую программу. Для загрузки троянских программ на компьютеры жертв, злоумышленники используют специальные наборы эксплойтов.

"Подмену выдачи" реализуют многие вредоносные программы. Так установившись на компьютере жертвы, подобные троянские программы отслеживают активность веб-браузеров, а при обращении пользователя к ресурсам поисковых систем вместо результатов поиска выдают пользователю ссылки на различные сайты. Трояны семейства Trojan.Hiloti относятся именно к этой категории вредоносных программ.

Специалисты Доктор Веб связывают появление новых модификаций Trojan.Hiloti с организацией партнерской программы Podmena-2014, к которой злоумышленники пытаются привлечь распространителей вредоносного ПО.

В условиях этой партнерской программы вирусописатели предлагают владельцам сайтов разместить на своих площадках специальный сценарий, который с определенным интервалом загружает с сервера злоумышленников исполняемый файл вредоносной программы Trojan.Hiloti. При этом вместе с инсталлятором самого трояна, злоумышленники распространяют еще и модуль руткита, который скрывает работу вредоносной программы в инфицированной операционной системе. Чтобы усложнить детектирование Trojan.Hiloti исполняемый файл трояна автоматически переупаковывается на сервере злоумышленников через определенные промежутки времени.

Загружается троян на компьютеры потенциальных жертв при помощи уязвимостей:

  • CVE-2012-4969;
  • CVE-2013-2472;
  • CVE-2013-2465;
  • CVE-2013-2551,

а также методов социальной инженерии.

Zagruzka Trojan.Hiloti na PK.png

Организация партнерской программы происходит по следующему сценарию:

  • Заказчик заключает с партнерской программой соглашение о продвижении ссылок
  • Партнерская программа передает вредоносное ПО распространителям, которые в дальнейшем размещают его на сайтах
  • При посещении пользователями сайтов, где размещается вредоносного ПО, их компьютеры инфицируется
  • При обращении пользователей, чьи компьютеры были заражены, к ресурсам поисковых систем, жертва переходит по ссылкам, демонстрируемым в окне бразуера вредоносным ПО. При этом вся полученная информация передается партнерской программе
  • Заказчик оплачивает партнерской программе переходы по ссылкам
  • Часть этих средств поступает распространителям вредоносного ПО