«Dr.Web» сообщил об активизации распространения вредоносов, входящих в семейство Trojan.Hiloti, подменяющих поисковую выдачу. Для увеличения числа загрузок зловредного ПО кибермошенники создали даже партнерскую программу, а также широко используют традиционные комплекты эксплойтов, через которые троянцы и попадают на ПК потенциальных жертв.
Функция подмены реализуется посредством множества зловредов, и «прописавшись» на ПК жертвы, такие программы отслеживают активность web-обозревателей, и как только пользователь обратиться к поисковым системам с целью нахождения ресурса, подмена которого «прописана» во вредоносном эксплойте, вместо искомого сайта выдают ссылку на мошеннические ресурсы-двойники.
Именно этим и занимаются трояны Trojan.Hiloti, некоторые разновидности которых впервые обнаружили в 2010 году. Сегодня в базах «Доктора Веба» насчитывается уже порядка 80 модификаций данного троянского семейства.
Появление новейших разновидностей Trojan.Hiloti эксперты связывают с запуском Podmena-2014, партнерки в которую злоумышленники привлекают распространителей зловредного ПО.
Вирусораспространители предлагают вебмастерам разместить на их сайтах специальный сценарий, подгружающий через определенные интервалы исполняемый файл с кодом установки Trojan.Hiloti. Одновременно с установщиком загружается и модуль руткита, скрывающий работу зловреда. А для целей затруднения обнаружения Trojan.Hiloti на командном сервере периодически переупаковывается его исполняемый файл.
Вирусораспространителям кибермошенники предлагают достаточно несложную партнерскую схему работы: если те согласятся поспособствовать загрузкам Trojan.Hiloti, разместив его загрузочный код на своих площадках, то при попытках жертв выполнить определенный запрос, троянец начнет показывать в окне обозревателя ссылки на оплаченные рекламодателями web-ресурсы. В ряде случаев переход пользователей по таким гиперссылкам будет сопровождаться загрузкой разного рода нежелательных приложений вроде поддельных антивирусов, требующих оплаты якобы «лечения» компьютера.