Эксперты ESET обнаружили новую вредоносную программу MSIL/Agent.PYO, оформляющую польский шенген для интернет-пользователей в Белоруссии, передает Today.kz со ссылкой на пресс-службу компании.
Для получения польской шенгенской визы гражданам Беларуси нужно записаться на собеседование, заполнив онлайн-анкету на сайте консульства в системе e-Konsulat. Запись открывается в заранее назначенное время. Свободные места расходятся в считанные минуты.
Ввиду высокого спроса на польские визы ИТ-специалисты стали писать собственные веб-скрипты, которые автоматически отслеживают наличие свободных мест, перехватывают и заполняют анкеты для личного пользования или перепродажи мест для регистрации в электронной системе.
Однако операторы ботнета, обнаруженного экспертами ESET, усовершенствовали технологию. Вредоносная программа MSIL/Agent.PYO включает несколько компонентов: загрузчик, апдейтер и основной компонент Konsulat.RemoteClient.
Операторы ботнета начали распространять загрузчик MSIL/Agent.PYO с помощью набора эксплойтов Nuclear Exploit Kit за четыре дня до очередного открытия записи на сайте консульства Польши, то есть 16 декабря прошлого года.
«Атака была ориентирована на пользователей из Беларуси, поскольку система e-Konsulat позволяет заполнять анкеты на визы только с местных IP-адресов. По статистике, 16-21 декабря 2014 года более 200 000 потенциальных жертв были перенаправлены на вредоносное содержимое по укороченным ссылкам bit.ly», - говорится в сообщении.
Позднее, 20-21 декабря, боты начали получать команды на заполнение онлайн-анкет в системе e-Konsulat. Анализ ботнета показал, что в нем содержится около 300 компьютеров, почти все из них находятся в Белоруссии.
«В течение последующих пяти недель специалисты зафиксировали более тысячи компьютеров, участвующих в деятельности ботнета. Специалисты ESET передали собранную информацию в центры реагирования на компьютерные инциденты CERT-PL (Польша) и CERT-BY (Беларусь)», - говорится в сообщении.
|