Chomikuj.pl naszpikowany złośliwymi plikami

W serwisie Chomikuj.pl znajdują się setki tysięcy plików EXE, które posiadają dodatek w postaci polskiego konia trojańskiego.

Firma Palo Alto Networks poinformowała o unikalnym koniu trojańskim PWOBot, który w całości został napisany w Pythonie a następnie skompilowany do pliku EXE. Złośliwy kod dołączany jest do różnych programów użytkowych, np.:

Quick PDF to Word 3.0.exe

XoristDecryptor 2.3.19.0 full ver.exe

Easy Barcode Creator 2.2.6.exe

Kingston Format Utility 1.0.3.0.exe

uCertify 1Z0-146 Oracle Database 8.05.05 Premium.exe

Six Sigma Toolbox 1.0.122.exe

Fizjologia sportu. Krtkie wykady.exe

Rozsiewany jest natomiast przede wszystkim za pośrednictwem serwisu Chomikuj.pl. Serwis Zaufana Trzecia Strona ustalił, że odpowiadają za to głównie takie konta jak Kimaoson, KuroMan29, KarolKrol, OranzowyBol, be36ber, soneaakarin oraz Paolapopo.

Zobacz również:

Do tej pory natrafiono na 12 wersji PWOBot. Najstarsza pochodzi z 2013 roku, natomiast kulminacja ataków przypadła na drugą połowę 2015 roku. Trojan został najprawdopodobniej przygotowany przez Polaka pracującego wcześniej nad innowacyjnym koniem trojańskim Banatrix. Gdy znajdzie się już na atakowanym komputerze pozwala m.in. na pobieranie i uruchamianie wskazanych plików wykonywalnych, zapisywanie naciskanych klawiszy, czy wykonywanie kodu Pythona.

Więcej informacji: Palo Alto Networks


Zobacz również