Как это работает
Пользователь обнаруживает в своем электронном ящике письмо от компании Amazon. К нему прикреплен ZIP-архив с исполняемым файлом, который после запуска выдает сообщение об ошибке – так он убеждает пользователя в том, что безвреден.
Однако в действительности в этот момент Bayrob уже работает. Он используется злоумышленниками в качестве бэкдора.
Цель и средства
Bayrob применяется в основном для получения данных о банковских картах, а также доступа к учетным записям онлайн-банкинга. Троян после установки запрашивает информацию у удаленного сервера, загружает оттуда вредоносное программное обеспечение и отправляет обратно украденные данные.
Для связи с удаленным сервером Bayrob генерирует различные адреса. В частности, злоумышленники используют для управления вирусом сервер японского Amazon, который входит в состав Amazon Web Services, но эксперты не исключают, что мощности могли официально арендовать третьи лица.
Где бушует эпидемия
Троян был обнаружен ещё в 2007 году, а в 2015 году он активно использовался для атак в странах Европы, Южной Африки, Австралии и Новой Зеландии. В январе 2016 года значительная часть заражений приходилась на Испанию, Австрию, Германию и Италию.
Недавно аналитики обнаружили несколько писем, созданных на разных языках, и это подтверждает расширение географии атак. Впрочем, защититься от Bayrob просто – достаточно просто игнорировать письма от неизвестных отправителей и уж точно не открывать вложения в них.