Kaspersky Lab wykrył szkodliwy program Mediyes, którego zadaniem jest instalowanie trojanów w systemach Windows. Do podpisania szkodnika cyberprzestępcy wykorzystali skradziony certyfikat należący do szwajcarskiej firmy Conpavi AG współpracującej z lokalnymi organami rządowymi.
Eksperci zidentyfikowali wiele wariantów nowego szkodnika, jednak każdy z nich był podpisany przy użyciu tego samego certyfikatu cyfrowego. Mediyes potrafi instalować trojany w 32- oraz 64-bitowych systemach Windows. Zgromadzone informacje wskazują, że szkodnik infekuje komputery za pośrednictwem luk w zabezpieczeniach systemu operacyjnego oraz zainstalowanych aplikacji.
Dzięki legalnemu certyfikatowi Mediyes może z łatwością wnikać do niechronionych systemów Windows i umieszczać własny kod w uruchomionych przeglądarkach internetowych.
Po uruchomieniu Mediyes sprawdza, jaka przeglądarka internetowa jest uruchomiona w systemie operacyjnym, a następnie zaczyna przechwytywać zapytania, które użytkownik wprowadza w wyszukiwarkach Google, Yahoo! oraz Bing.
Przechwycone frazy są zapisywane na zlokalizowanym w Niemczech serwerze kontrolowanym przez cyberprzestępców. Zapytania są wykorzystywane przez złośliwych użytkowników do zarabiania pieniędzy w ramach programu partnerskiego „Search 123” działającego na zasadzie PPC (pay-per-click) – cyberprzestępcy otrzymują pieniądze za każde kliknięcie zarejestrowane na określonych stronach WWW.
Serwer odpowiada na żądania użytkowników z odsyłaczami z systemu Search123, które są klikane automatycznie – bez wiedzy użytkownika.
– Celem tego szkodnika są bez wątpienia użytkownicy w Europie Zachodniej – mówi Wiaczesław Zakorzewski, ekspert z Kaspersky Lab. – Świadczy o tym rozkład geograficzny wykrytych infekcji, użycie przez cyberprzestępców certyfikatu wydanego przez szwajcarską firmę, serwer zlokalizowany w Niemczech oraz przechwytywanie jedynie żądań dokonywanych na najpopularniejszych wyszukiwarkach.
Eksperci z Kaspersky Lab już skontaktowali się z organizacją VeriSign z informacją o zagrożeniu i prośbą o unieważnienie skradzionych certyfikatów cyfrowych.
Źródło: Kaspersky Lab