Злом популярних і добре відвідуваних інтернет-ресурсів з метою поширення небажаного, рекламного або відверто шкідливого ПО - добре відомий прийом, нерідко використовується мережевими зловмисниками. Однак найчастіше в поле зору кіберзлочинців потрапляють веб-сайти комерційних підприємств і різні портали розважального характеру, в той час як з ресурсами державних установ хакери зазвичай намагаються не зв'язуватися. Проте, сьогодні співробітникам компанії «Доктор Веб» стало відомо про злом інтернет-порталу Всеросійського центру вивчення громадської думки (ВЦИОМ): зловмисники розмістили на сервері ВЦИОМ веб-сторінки, з яких відвідувачам пропонувалося завантажити шкідливу програму під виглядом різних «корисних» файлів .

Злому піддалася як російськомовна (wciom.ru), так і англомовна (wciom.com) версії офіційного веб-сайту ВЦИОМ. Кіберзлочинці створили на скомпрометувати сервері спеціальний розділ, в якому розміщувалися веб-сторінки з заголовками, які користуються високою популярністю згідно зі статистикою пошукових систем: наприклад, «нові-команди-кхл-2015-2016», «скачати-книгу-метро-2035-в- форматі-fb2 »,« каталоги-ейвон-12-2015-перегляд-онлайн-безкоштовно-росія-гортати »,« пробки-на-трасі-м4-дон-сьогодні-онлайн »,« скачати-adblock »і т. д . При спробі відкрити таку посилання у вікні браузера користувачеві демонструвалася підроблена веб-сторінка популярної служби зберігання файлів «Яндекс.Діск» або ж веб-сторінка з заголовком WCIOM.RU, на якій потенційній жертві пропонувалося завантажити архів нібито з таким собі «корисним» вмістом, - наприклад, популярною книгою «Метро 2035» або свіжим каталогом Avon.

Всі розміщені зловмисниками на сайті ВЦВГД архіви містять шкідливу програму, що стосується сімейства Trojan.DownLoader. При натисканні на кнопку скачування файлу потенційна жертва перенаправляється на спеціальну веб-сторінку, де користувачеві пропонується або варіант «звичайної» завантаження файлу (на комп'ютер буде встановлено весь передбачений зловмисниками комплект небажаного ПЗ), або вибіркової - в цьому випадку користувач може скасувати завантаження деяких компонентів .

За допомогою даного завантажувача зловмисники встановлюють на комп'ютер жертви програму-майнер, призначену для видобутку різних криптовалюта, а також іншої небажаний софт: серед подібних програм помічений браузер «Комета», програма AnySend, різні плагіни до браузерів, в тому числі які підміняють стартову сторінку в настройках . Судячи з зібраним кіберзлочинцями даними статистики, до яких отримали доступ фахівці компанії «Доктор Веб», кількість потенційних жертв зловмисників обчислюється десятками тисяч.

Сигнатура поширюваної кіберзлочинцями шкідливої ​​програми додана в вірусні бази Dr.Web, а посилання на зламану частину порталу ВЦИОМ - в базу не рекомендованих сайтів. У зв'язку з цим описаний злом не представляє небезпеки для наших користувачів. Після того як адміністратори порталу ВЦИОМ усунуть причини і наслідки злому, посилання на сайт Центру будуть видалені зі списків не рекомендованих.