Microsoft предупреждает о появлении новой троянской программы, которая может вносить изменения в настройки прокси-сервера, перехватывать зашифрованный трафик и похищать учетную информацию.
Распространение вредоносной программы Trojan:JS/Certor.A. осуществляется с помощью традиционных методов, в том числе спам-рассылки. В электронные письма, рассылаемые злоумышленниками, вложен документ Microsoft Word, который содержит встроенный объект OLE, запускающий скрипт Jscript. Этот скрипт выглядит как обычный файл и не вызывает подозрений у пользователей. В действительности в нем содержится несколько скриптов PowerShell и сертификат, с помощью которого в дальнейшем отслеживается и перехватывается HTTPS-трафик.
При проникновении в систему вредоносная программа вносит изменения в настройки прокси Internet Explorer в реестре Windows и осуществляет установку клиента Tor, планировщика задач, инструмента для туннелирования через прокси, а также сертификата, который дает хакерам возможность перехватывать зашифрованный трафик. Помимо этого, троянская программа осуществляет установку еще одного сертификата для браузера Firefox, так как в нем применяются другие настройки прокси.
Затем происходит переадресация всего трафика на прокси-сервер, находящийся под контролем злоумышленников. Таким образом, хакеры могут дистанционно осуществлять перехват, перенаправление, модификацию трафика и хищение важной информации.