В русскоязычном блоге «Лаборатории Касперского» рассказали о трояне, код которого был внедрён на главные страницы ряда крупных новостных сайтов.
После захода на страницу пользователь незаметно перенаправлялся на подконтрольный злоумышленникам сервер. По данным Kaspersky Security Network, большая часть атакованных пользователей находилась в России.
Для заражения злоумышленники использовали эксплойт для браузера Internet Explorer (CVE-2016-0189), также известный как VBScript Godmode. Основным модулем является банковский троянец Buhtrap, первые версии которого стали известны ещё в 2014 году. Основная цель — кража денег со счетов юридических лиц, поэтому вредоносное ПО нацелено на компьютеры финансовых работников различных организаций:
Троянец распространяется с использованием уязвимости от 2016 года, поэтому, как минимум, специалистам по безопасности, если это ещё не было сделано, нужно установить на вверенных им компьютерах обновление; запретить запуск утилит удаленного администрирования, если это возможно.
При этом «Лаборатория Касперского» отказалась комментировать, какие именно новостные сайты подверглись атаке, ответив только некоторым СМИ относительно них самих. Так, например, известно, что сайт «Газеты.Ru» не пострадал.