«Доктор Веб» предупреждает о появлении новой вредоносной программы, которая маскируется под антивирусную утилиту, якобы разработанную «Лабораторией Касперского».
   Зловред распространяется через ряд взломанных сайтов в Интернете. При посещении скомпрометированной веб-страницы пользователю предлагается установить некое расширение для браузера. В процессе инсталляции зловред требует предоставить ему ряд специальных разрешений и после завершения установки отображается в списке расширений браузера Chrome под именем «Щит безопасности KIS».

   Основное предназначение трояна заключается в выполнении веб-инжектов, то есть встраивании постороннего содержимого в просматриваемые пользователем веб-страницы. При этом на всех сайтах вредоносная программа блокирует демонстрацию сторонней рекламы с любых доменов, кроме тех, список которых предусмотрен в её конфигурации.
   Любопытно, что вредоносная программа содержит перечень сайтов, на которых реклама не отображается. В число таких ресурсов входят fsb.ru, gov.ru, government.ru, mos.ru, gosuslugi.ru и некоторые другие.

   Если пользователь авторизовался в «Одноклассниках», троян пытается предоставить определённому приложению доступ к API этой социальной сети от имени жертвы путём авторизации по протоколу OAuth. При этом в процессе авторизации запрашиваются привилегии на изменение статуса, просмотр, редактирование, загрузку фотографий, просмотр и отправку сообщений от имени пользователя, а также некоторые другие. Таким образом, можно предположить, что злоумышленники используют программу в различных рекламных целях — например, для продвижения групп, рассылки спама или каких-либо голосований.

Подробнее здесь. 

Источник: 3dnews