Антивирусная компания Eset предупредила о росте активности троянской программы Win32/Bayrob. Распространение Bayrob осуществляется классическим способом – в электронной рассылке. Письмо-приманка замаскировано под официальное сообщение сервиса Amazon. В приложении к письму содержится ZIP-архив с исполняемым файлом.
После запуска программа выводит на экран сообщение об ошибке, чтобы убедить пользователя в ее безопасности. На самом деле, Bayrob уже действует и используется атакующими в качестве бэкдора.
Основная цель операторов Bayrob – сбор данных для получения финансовой выгоды: сведений о банковских картах, паролей и логинов от онлайн-банкинга. Чтобы получить эту информацию, троян обращается к удаленному серверу, загружает другие вирусные программы, запускает исполняемые файлы и отправляет собранные данные злоумышленникам.
Для контакта с удаленным сервером Bayrob генерирует различные URL-адреса, помимо используемого. Один из URL, обнаруженных специалистами Eset, зарегистрирован японским представительством Amazon. Вероятно, атакующие управляют зараженными ПК при помощи сервера, входящего в состав инфраструктуры Amazon Web Services. Это не означает, что скомпрометирована вся инфраструктура Amazon, подчеркивают в Eset, – сервер мог быть арендован официально третьими лицами.