Троян меняет настройки прокси и «слушает» зашифрованный трафик

Эксперты компании Microsoft предупредили о появлении нового трояна, способного модифицировать настройки прокси-сервера, «прослушивать» зашифрованный трафик, похищать учетные данные, а также другую важную информацию.

Для распространения вредоноса, получившего название Trojan:JS/Certor.A., злоумышленники используют традиционные методы, в частности, спам-рассылку. Электронные письма включают вложение в виде документа Microsoft Word, содержащее встроенный объект OLE, при открытии которого запускается скрипт JScript. Данный скрипт замаскирован под безобидный файл, не вызывающий подозрений у пользователя. На самом деле код содержит несколько скриптов PowerShell и собственный сертификат, который далее используется для отслеживания и перехвата HTTPS-трафика.

Оказавшись в системе вредонос модифицирует настройки прокси Internet Explorer в реестре Windows и устанавливает клиент Tor, планировщик задач, утилиту для туннелирования через прокси, а также сертификат, позволяющий злоумышленникам прослушивать зашифрованный трафик. Кроме того, троян устанавливает еще один сертификат для браузера Mozilla Firefox, поскольку данный интернет-обозреватель использует собственные настройки прокси.

Далее весь трафик перенаправляется на подконтрольный атакующим прокси-сервер. В результате они могут удаленно отслеживать, перенаправлять, модифицировать трафик и похищать важные данные жертвы.