Киберпреступники продолжают использовать троянец DNSChanger

В блоге компании «Лаборатория Касперского» сообщается, что несмотря на отключение временных DNS-серверов троянец DNSChanger все еще функционирует и специалисты ежедневно фиксируют множество атак, которые проводятся с использованием локальных DNS-настроек. На самом деле эти атаки немного другие: они вносят изменения в локальный HOST-файл, но принцип тот же – перенаправление жертвы на вредоносный хост через вредоносные DNS-записи. В особенности эта активность заметна в Латинской Америке.

Как отмечается, киберпреступники в этом регионе часто используют повторно старые технологии, которые в прошлом уже применялись в других местах, и сейчас идет рост количества атак, которые проводятся с использованием локальных DNS-настроек.

Примером является последняя вредоносная атака, в которой были задействованы приемы социальной инженерии, когда злоумышленники выдавали себя за сотрудников налоговой службы Мексики. Зловред распространяется в основном по электронной почте, большинство атак нацелены на адреса, зарегистрированные на Yahoo.

Пройдя по ссылке, жертва загружает и устанавливает на своем компьютере троянца, который связан с ботом Ngrbot и видоизменяет локальный HOST-файл. Вирус крадет деньги, перенаправляя пользователей зараженных компьютеров на фальшивые сайты веб-банкинга. По данным специалистов, вирус был скачан не менее 11540 раз, из 31 антивирусного ядра его распознают 9. По сути это означает, что сейчас заражены около 8000 компьютеров.