Эксперты «Лаборатории Касперского» выявили троянскую программу Trojan-Proxy.PowerShell.Agent.a, которая применяет Microsoft PowerShell для подмены настроек прокси и переадресации на другой сервер посетителя банковского сайта.
Троянская программа Trojan-Proxy.PowerShell.Agent.a нацелена на банки Бразилии. Ее распространение осуществляется с помощью спам-писем с вложенными pif-файлами. Сообщения выглядят как квитанции, присланные мобильными операторами.
По словам исследователей «Лаборатории Касперского», серверы создателей вредоносной программы находятся в Нидерландах и содержат фишинговые веб-страницы, которые замаскированы под сайты нескольких банков Бразилии.
Данная троянская программа не связывается с командным сервером перед началом атаки или в процессе кибернападения. При открытии жертвой вредоносного файла вредоносная программа запускает PowerShell на инфицированной машине и вносит изменения в настройки прокси для Internet Explorer.
Важность этих настроек в том, что их применяют в работе другие приложения, которые не обладают собственными средствами для настройки прокси. Почти все браузеры, исключая Firefox, используют настройки прокси для Internet Explorer. В результате, вне зависимости от того, какой браузер используется жертвой, прокси киберпреступников перехватит HTTP-запрос к банковскому сайту. Произойдет переадресация пользователя на фальшивую веб-страницу, замаскированную под настоящий интернет-портал.
Также Trojan-Proxy.PowerShell.Agent.a перед кибератакой проводит проверку языка, который по умолчанию установлен в системе. Если система не работает с бразильским вариантом португальского языка, то вредоносная программа не запускается.