Euro 2012 wykorzystane przez hakerów

Przeczytaj także: Bezpieczeństwo IT w 5 krokach

Jedna domena, wiele zagrożeń

Analizując działalność cyberprzestępców związaną z Euro 2012, eksperci z Trend Micro zidentyfikowali stronę {BLOCKED}uro2012.com. Witryna podszywała się pod oficjalną stronę http://www.uefa.com/uefaeuro/. Po przeskanowaniu okazało się, że na stronie znajdowało się kilka złośliwych programów, między innymi TROJ_FAKEAV.HUU w wersji FAKEAV. Po uruchomieniu wyświetlał on ekran imitujący wynik skanowania zainfekowanego komputera. Celem programu jest nakłonienie użytkownika do instalacji fałszywego programu antywirusowego oraz zakupu i aktywacji jego pełnej wersji.

Strona aktywująca FAKEAV to w rzeczywistości narzędzie do phishingu – ataków polegających na wyłudzaniu od użytkowników ich poufnych danych. Okazuje się również, że TROJ_FAKEAV.HUU zawiesza przeglądarki Internet Explorer, Mozilla Firefox i Google Chrome.

Na tej samej stronie znajduje się również plik TROJ_LOADR.BGV, który łączy się z trzema adresami URL i ściąga program TSPY_ZBOT.JMO w wersji ZBOT. Ten rodzaj złośliwego oprogramowania wyłudza dane dotyczące internetowych kont bankowych. Więcej informacji na temat odmian ZBOT/ZeuS można znaleźć w raporcie przygotowanym przez Trend Micro – Zeus: A Persistent Criminal Enterprise (http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_zeus-persistent-criminal-enterprise.pdf).