Как сообщает охранная фирма BitDefender, злоумышленники атакуют русских граждан, хитростью заставляя их устанавливать вредоносную программу Kelihos. Хакеры играют на анти-западных и анти-американских настроениях пользователей и используют их в своих спам-письмах. Злоумышленники предлагают программное обеспечение, предназначенное для атаки правительств в ответ на санкции, связанные с кризисом в Украине. Однако единственное что получают пользователи — это вирус Kelihos.

Пользователи, перешедшие по вредоносной ссылке в спам, автоматически скачивают троян, который устанавливает 3 файла, используемых для мониторинга трафика (npf_sys, packet_dll, wpcap_dll) и способен добыть конфиденциальные данные браузера, интернет-трафик и другую личную информацию.

Также известный как Hlux, ботнет Kelihos был впервые найден примерно 4 года назад. За свою историю, он, в основном, был связан со спамом и Bitcoin-кражами.

Согласно заявлению охранной фирмы BitDefender, в связи с конфликтами в Украине, хакеры создали спам-сообщения, которые помогают им внедрить трояна тем, кто поддерживает российскую сторону и кому не нравятся меры, принятые против его страны. Пользователи, нажимающие на ссылку, не желая того, инфицируют свой компьютер ботнетом и провоцируют дальнейшее распространение вредоносной программы.

Спам содержит сообщение от российских хакеров или программистов, огорченных «необоснованными санкциями», наложенными западными государствами против их страны. Таким образом пользователю сообщают, что если тот запустит приложение на своем компьютере, он начнет тайно атаковать правительственные учреждения стран, которые наложили эти санкции.

Для большей убедительности, преступники добавили, что их программа работает тихо и использует только ограниченное количество вычислительной мощности. В сообщении также говорится, что после перезагрузки компьютера пользователя, программа сама завершит свою работу.

Тексты сообщений варьируются, и в некоторых случаях содержат просьбу отключить антивирусное программное обеспечение во время работы программы. Изыскатели в области безопасности в Websense считают, что эта хакерская атака началась 20 августа.

Заразив компьютер, Kelihos устанавливает связь со своим центром управления зашифрованными сообщениями для получения последующих инструкций. Этот вирус может общаться с другими зараженными компьютерами, похищать Bitcoin кошельки, рассылать спам, похищать учетные данные FTP-серверов и электронной почты, загружать и установить другие вредоносные файлы на уязвимой системе и многое другое.

Анализ одной из последних волн спама, проведенный экспертами BitDefender, показал, что инфицированные компьютеры связываются с серверами в Украине, а также с еще 2 из Польши и Республики Молдова.

Аналитик фирмы Bitdefender Дойна Косован (Doina Cosovan) объявила , что некоторые серверы, специализирующиеся на распространении вредоносных программ, стали частью ботнета Kelihos. По ее словам, это может означать, либо то, что компьютеры в стране также были заражены, либо же что Украина сама является распространителем вируса.