Корпорация Symantec сообщает об обнаружении троянской программы (идентифицируется продуктами Symantec как Trojan.Spachanel), которая выводит пользователей на потенциально опасный контент и демонстрирует им рекламные сообщения в виде всплывающих в браузере окон. При этом сами открываемые сайты не заражены и вообще никак не связаны с содержимым всплывающего окна.

Для обеспечения устойчивой связи между зараженными компьютерами и серверами злоумышленников и преодоления типовых средств защиты программа использует среду политик отправителя (Sender Policy Framework, SPF). Примечательно, что изначально эта технология создавалась для подтверждения легитимности почтовых серверов с целью фильтрации спам-рассылок.

Принцип SPF – это отправка запроса к DNS-серверу и анализ его ответа. Если DNS-сервер отправителя настроен на использование SPF, DNS-ответ содержит SPF в виде текстовой (.txt) строки.

Идея автора вредоносной программы состоит в том, что при использовании SPF домен или IP-адрес может быть получен через DNS-запрос, при этом сам запрос не обязательно должен исходить непосредственно от зараженного компьютера. Если вредоносная программа пытается соединиться с сервером злоумышленника через порт с большим номером по стандартному протоколу, то она может быть заблокирована шлюзом, брандмауэром или системой предотвращения вторжений.

В некоторых случаях определенные домены блокируются локальным DNS-сервером, однако этот вирус создает запрос к домену, который чаще всего проходит через большинство фильтров. Более того, DNS-запросы, как правило, отправляются не напрямую – обычно в сети присутствует кэширующий DNS-сервер, что сильно снижает вероятность блокировки данного запроса брандмауэром. Таким образом, злоумышленник получает возможность поддерживать стабильную связь между вредоносной программой и управляющим сервером.

После инфицирования системы встроенный JavaScript-тэг загружает вредоносный контент, который создает всплывающее окно в нижнем левом углу окна браузера. При этом сами открываемые сайты не заражены и вообще никак не связаны с содержимым всплывающего окна. Таким образом, поскольку Java-скрипт встраивается в браузер, а не в сам веб-сервер, всплывающие окна не будут отображаться на незараженных компьютерах.

Целью этих атак очевидно является зарабатывание денег за счет предложения загрузки потенциально опасного контента и путем набора кликов по рекламным ссылкам.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365