Специалисты антивирусной компании ESET обнаружили новую вредоносную программу MSIL/Agent.PYO именно с таким нетривиальным назначением.

Места в очереди на собеседование для получения шенгенской визы в системе e-Konsulat польского консульства в Беларуси исчезают за минуты — и причастны к этому роботы, рассказывает антивирусная компания ESET. Запись открывается в заранее назначенное время.

Высокий спрос на польские визы становится причиной создания веб-скриптов, которые автоматически отслеживают наличие свободных мест, перехватывают и заполняют анкеты.

Вредоносная программа MSIL/Agent.PYO включает несколько компонентов: загрузчик (обнаружено несколько версий на С# и С++), апдейтер и основной компонент Konsulat.RemoteClient.

Операторы ботнета начали распространять загрузчик MSIL/Agent.PYO с помощью набора эксплойтов Nuclear Exploit Kit за четыре дня до очередного открытия записи на сайте консульства Польши, то есть 16 декабря прошлого года. Атака была ориентирована на пользователей из Белоруссии, поскольку система e-Konsulat позволяет заполнять анкеты на визы только с местных IP-адресов. По статистике, с 16 по 21 декабря 2014 года более 200?000 потенциальных жертв по укороченным ссылкам bit.ly были перенаправлены на вредоносное содержимое, а затем 20 и 21 декабря боты на зараженных компьютерах начали получать команды на заполнение онлайн-анкет в системе e-Konsulat. К тому же, уже выявлены около полторы тысячи компьютеров, которые участвуют в деятельности ботнета.

Информация о вредоносной программе была передана в национальные центры реагирования на компьютерные инциденты Беларуси и Польши.