Замечен новый троян из семейства Boleto

Как сообщила недавно корпорация RSA, их анализ обнаружил новый вид трояна, который немного изменился по сравнению с прочими троянами из вида Boleto. Улучшенный код может быстро изменять своё поведение, атакуя пользователя разными тактиками. Выбираются они моделью браузера, который установлен на компьютере пользователя.

В отличие от своей прошлой версии Eupuds, новый вид троян Onyx труднее обнаружить антивирусными системами, потому что он хорошо скрывается, меняя алгоритмы свой работы. Eupuds просто внедрялся новый код в память браузера жертвы, а потом запускал свои, то алгоритмы работы Onyx смотрелся гораздо необычнее. С начала выполнялась проверка в браузере, в зависимости от производителя (IE, Firefox, Opera, Chrome и другие), а потом выбирается лучший алгоритм атаки. Так же было и стандартное встраивание в память приложения.

Таким способом, в Chrome и Firefox выполняется внедрение нового опасного расширения в браузер, откуда и происходит работа. Достаточно вовремя обнаружить и удалить это расширение. А вот в IE троян осуществляет атаку с помощью встроенного интерфейса типа COM, который изначально предусмотрен в этом браузере. Также Onyx не меняет банковский код, используемый в Boleto. Зато он способен нанести повреждения штрих-коду, производя генерацию случайных полосок, заменяя изначальное изображение на них. Также для загрузки картинки может применяться сторонний вредоносный сервер.