Обновления браузеров оказались ловушкой для распространения троянов

Хакеры нашли новый способ внедрения вредоносных программ BitRAT и Lumma Stealer, маскируя их под обычные обновления браузеров. Этот метод, хоть и известен давно, снова стал активно использоваться для заражения компьютеров.

Процесс заражения начинается с захода пользователя на манипулированный сайт. Здесь скрипты JavaScript переадресуют жертву на поддельную страницу, которая выдает себя за официальный источник обновлений. С этой страницы предлагается загрузить архив Update.zip, который фактически расположен на платформе Discord. Последние данные от компании Bitdefender указывают на значительное количество вредоносных активностей, связанных с этим мессенджером.

Внутри архива находится исполняемый JavaScript-файл, который инициирует серию команд PowerShell для загрузки дополнительных вредоносных файлов с серверов атакующих. Эти файлы часто прячутся под видом невинных PNG-изображений, что усложняет их обнаружение антивирусными программами.

Троян BitRAT известен своей способностью не только к дистанционному управлению зараженными системами, но и к выполнению майнинга криптовалют, что делает его особенно опасным.