Троян Win32/Bicololo нацелился на пользователей "Вконтакте"


Win32/Bicololo - троянская программа, нацеленная на пользователей российских социальных сетей, предназначенная для кражи персональных данных интернет-пользователей. Вредонос распространяется под видом ссылок на графические файлы с расширением .jpg. При активации подобной ссылки вместо изображения загружается вредоносное ПО.

После попадания на компьютер жертвы, вредоносная программа модифицирует системный файл hosts, и при попытке пользователя зайти на определенный легальный сайт - тайно перенаправляет его на фальшивую страницу, принадлежащую злоумышленникам. В дальнейшем вся информация, введенная пользователем на такой странице, автоматически попадает в руки к злоумышленникам.

В модифицированном файле hosts были обнаружены ссылки на сайты:

  • "Одноклассники"
  • "Вконтакте"
  • Mail.ru.


Исследователи выяснили, что угроза Win32/Bicololo не распространяется на мобильные платформы, а рассчитана только на семейство операционных систем Windows.

Детальный анализ угрозы подтверждает ее российские корни: в коде Win32/Bicololo встречаются комментарии на русском языке. Еще в одном из файлов, создаваемых вредоносной программой, была обнаружена фраза "стою у трапа самолета", т.е. строка из песни "Аэропорт" 1987 года в исполнении Александр Барыкин.

Также установлено, что сайты с доменами .ar, .br, .cl и .co, использованные для размещения вредоносного ПО, являются вполне легальными ресурсами. Они специально были заражены программами-взломщиками для распространения данной модификации Win32/Bicololo. Эти сайты были обнаружены злоумышленниками путем автоматического сканирования на предмет уязвимостей.

В своей схеме кибератаки преступники использовали два сервера. На одном были размещены фальшивые аналоги главных страниц вышеперечисленных социальных сетей, второй использовался для связи с вредоносной программой. Эти сервера могли быть арендованы или взломаны киберпреступниками. А судя по IP-адресам, они расположены за пределами Латинской Америки.

Стоит отметить, что различные модификации Bicololo могут распространяться разными способами, маскируясь под легальные приложения или файлы.