Зловмисники почали розсилати злошкідливі файли під виглядом скан-копії офіційних документsd від податкової служби. Зазвичай лист містить короткий текст з граматичними помилками на кшталт «Лист даних в прикріплені. Просимо повернути з підписом та печаткою». Також в листі вказані реквізити підприємства, фізична адреса і навіть телефони, щоб повідомлення не здавалося підозрілим. До листа доданий файл xxxxx.IMG розміром трохи більше одного мегабайта.

На перший погляд здається, що розширення IMG означає всього лише графічне зображення. Насправді це файл образу диска, що містить злошкідливий код.

Перевірка файлу через онлайн-сервіс VirusTotal показала, що близько третини від загальної кількості антивірусів детектують в ньому троян, але інші помилково вказали, що він чистий.

Представник компанії Eset дав кілька можливих пояснень того, чому троян виявляють не всі розробники антивірусів. По-перше, VirusTotal має AV-движки з обмеженими можливостями. Якщо виявлений через VirusTotal, це не означає, що ПЗ для захисту кінцевих точок з тим самим механізмом AV не визначить злошкідливий код в реальному житті. Наприклад, ESET виявляє другу частину цього зловмисного програмного забезпечення як троян PowerShell/Obfuscated.Y, але він не відображається на VirusTotal. По-друге, VirusTotal зазвичай не використовує останнє оновлення антивірусних баз, завжди є кількагодинна затримка.

І найголовніше – кіберзлочинці постійно намагаються вдосконалити зловмисне програмне забезпечення та обійти виявлення AV, тому цілком можливо, що зловмисникам вдалося уникнути виявлення деяких із цих AV-модулів, які присутні на VirusTotal. Напевно можна сказати, що коли просканувати той самий файл наступного дня, коефіцієнт виявлення VirusTotal буде набагато вищим.

Таким чином, з VirusTotal треба працювати обережно, оскільки сервіс може давати як хибно позитивний, так і хибно негативний результат. Також треба дуже обережно відкривати вкладення до електронної пошти. Адже скан-копія документу скоріш буде мати розширення JPG, PNG, WEBP, але точно не IMG.