Компания ESET предупредила о росте активности троянской программы Win32/Bayrob. Ее распространение осуществляется классическим для этого вида ПО способом — в электронной рассылке. Письмо-приманка замаскировано под официальное сообщение сервиса Amazon. В приложении к письму содержится ZIP-архив с исполняемым файлом.
После запуска вредоносная программа выводит на экран сообщение об ошибке, чтобы убедить пользователя в ее безопасности. На самом деле, Bayrob уже действует и используется атакующими в качестве бэкдора.
Основная цель операторов Bayrob — сбор сведений о банковских картах, паролей и логинов от онлайн-банкинга. Чтобы получить эту информацию, троянец обращается к удаленному серверу, загружает другие вредоносные программы, запускает исполняемые файлы и отправляет собранные данные злоумышленникам.
Для контакта с удаленным сервером Bayrob генерирует различные URL-адреса, помимо используемого. Один из URL, обнаруженных специалистами ESET, зарегистрирован японским представительством Amazon. Вероятно, атакующие управляют зараженными ПК при помощи сервера, входящего в состав инфраструктуры Amazon Web Services. Это не означает, что скомпрометирована вся инфраструктура Amazon — сервер мог быть арендован официально третьими лицами.
В январе большинство заражений Bayrob пришлось на Испанию, Австрию, Германию и Италию.
Специалисты ESET обнаружили несколько образцов писем с вредоносными приложениями, написанных на разных языках. Вероятно, злоумышленники регулярно перенацеливают кампанию на пользователей из новых, еще не охваченных кибератакой стран.