10 febbraio 2014

Gli specialisti di Doctor Web segnalano la recente comparsa di molteplici programmi malevoli che mostrano pubblicità nei browser e cambiano i contenuti delle pagine visualizzate dall'utente. Questi trojan sfruttano la fiducia degli utenti in alcuni popolari siti: così i malintenzionati alzano la chance di quello che l'utente faccia clic su un messaggio pubblicitario incorporato clandestinamente nei contenuti del sito visualizzato. I trojan spesso pubblicizzano siti fraudolenti e quelli da cui si diffondono programmi malevoli. Avvertiamo gli utenti della comparsa di un nuovo trojan di questo tipo che abbiamo chiamato Trojan.Triosir.1.

Il Trojan.Triosir.1 si diffonde tramite il partner program Installmonster e insieme alle altre applicazioni utilizza l'installer Amonetize (amonetize.com). Per quanto riguarda le funzioni, il Trojan.Triosir.1 è simile al Trojan.Zadved.1 di cui abbiamo parlato in un articolo pubblicato in precedenza. Il Trojan.Triosir.1 esegue il web injection per sostituire con le informazioni estranee i contenuti delle pagine web visualizzate dall'utente. La pubblicità mostrata dal trojan include link a siti fraudolenti. I moduli principali del malware sono realizzati come estensioni per browser. Il trojan penetra sui computer insieme ad alcune applicazioni modificate, ad esempio, Screeny, un programma per cattura schermate. Durante l'installazione di questo programma, viene installata anche l'estensione malevola Screeny per Mozilla Firefox, Chrome e Opera. L'estensione rimane nel sistema, anche se il programma Screeny viene rimosso.

Le estensioni installate scaricano lo script malevolo del malware da un server remoto. Lo script malevolo aspetta qualche tempo prima di cominciare a svolgere le sue funzioni dannose per ingannare l'utente. Lo script include gli algoritmi che consentono di sostituire moduli di pubblicità su popolari siti, ad esempio, quelli dei social network "VKontakte" e "Odnoklassniki" ecc. Inoltre, lo script dispone di altre possibilità avanzate: ad esempio, può ottenere le informazioni riguardanti il sesso e l'età dell'utente dal suo profilo nei social network.

Tra i siti pubblicizzati dal trojan prevalgono i siti fraudolenti che abbonano l'utente a servizi a pagamento utilizzano il suo numero di cellulare e una conferma inviata dall'utente via SMS.

Il Trojan.Triosir.1 può incorporare pubblicità in qualsiasi sito, non soltanto in quelli più visitati. Il malware può riconoscere un sito cattivo dal punto di vista degli inserzionisti utilizzando un filtro delle parole chiave, e in tale sito la pubblicità non viene incorporata. Inoltre, il Trojan.Triosir.1 sostituisce moduli di pubblicità sui siti di alcuni partner network, tra cui lcads.ru, marketgid.com, visitweb.com, luxup.ru, pcads.ru, gredinatib.info, fulldl.net, adcash.com, tbn.ru e altri ancora. Il codice del trojan ha un set di regole le quali consentono di "far sparire" alcuni elementi sui siti my.mail.ru, fotostrana.ru, loveplanet.ru, kinopoisk.ru, mamba.ru, go.mail.ru, love.mail.ru, auto.ru, otvet.mail.ru, sprashivai.ru e avito.ru.

Possiamo ipotizzare che la compagnia Trioris di Novosibirsk abbia a che fare con la creazione e propagazione di questo trojan. Di solito, questa compagnia avvicina gli sviluppatori di qualche applicazione e si accorda con loro sull'aggiunzione di alcune estensioni. Quindi Trioris diffonde l'applicazione modificata o conclude un contratto di distribuzione con terzi, ad esempio con Amonetize che utilizza le possibilità del partner program Installmonster.

La firma antivirale Trojan.Triosir.1 è stata aggiunta ai database Dr.Web e quindi il malware non rappresenta alcun pericolo per gli utenti degli antivirus prodotti da Doctor Web.