Доверием пользователей к браузеру Firefox воспользовались злоумышленники, замаскировав под его обновления новую разновидность трояна Kovter.
Стало известно новом виде трояна Kovter, который маскируется под безопасные обновления для Firefox. Вредонос распространяется за счет атак типа drive-by-download: при посещении пользователем зараженного сайта, ему рекомендуется установить подделку на обновление для браузера. Об этом сообщили исследователи компании Barkly.
По утверждению экспертов, последний вариант Kovter обходится без файлов и, похоже, использует легитимный сертификат Comodo. Исследователи уже написали компании о проблеме – в ближайшее время сертификат будет отозван.
На зараженной системе вредонос устанавливает удаленно обновляемые трояны для доступа к компьютеру, кликает на рекламные ссылки, помимо этого осуществляя и функции вымогательского ПО. После выполнения на компьютере жертвы вредонос записывает встроенный зашифрованный скрипт в несколько разных участков реестра Windows и применяет PowerShell.exe.
В процессе анализа ключа реестра, эксперты нашли еще одну зашифрованную программу PowerShell, которая используется для внедрения в систему шелл-кода.
Пользователям Firefox настоятельно не рекомендуется устанавливать какие-либо патчи, выпуск которых не соответствует стандартному циклу обновлений компании Mozilla.