Письма-подделки под официальные уведомления различных финансовых институтов, в первую очередь банков, являются излюбленным приемом фишеров. В таких письмах получателя под благовидным предлогом просят ввести конфиденциальные данные на «официальном» сайте, который на самом деле является копией настоящего сайта банка, или прислать их «администрации» в ответном письме.

Но иногда злоумышленники используют имена известных финансовых институтов совсем для других целей. Так, 13 мая нами была зафиксирована рассылка, создатели которой выдавали себя за представителей крупнейшего европейского банка HSBC. Под предлогом возникновения проблем с последним банковским платежом, злоумышленники настойчиво рекомендовали получателю письма открыть вложенный архив HSBC_Payment_2839181.zip для получения более подробной информации о транзакции. Увы, распаковка архива и открытие находящегося в нем файла не решали несуществующие банковские проблемы. Вместо этого на компьютер инсталлировалась вредоносная программа Trojan-PSW.Win32.Fareit.beq, предназначенная для кражи cookies браузеров, паролей от FTP-клиентов, данных авторизации на почтовых сервисах и другой информации.

Как только в мире случается какое-то громкое событие, спамеры и кибермошенники немедленно используют его для привлечения внимания пользователей к своим рассылкам. Не стали исключением и последние трагические события в США: теракт на марафоне Бостоне и взрыв на химическом заводе в Техасе послужили поводом для создания новых рассылок вредоносного спама.

Уже 17 апреля мы зафиксировали первую рассылку писем, использующую происшествие в Бостоне для привлечения внимания получателей. Спам-сообщения содержали ссылки на взломанные страницы, на которых злоумышленники разместили вредоносные объекты.

На следующий день, 18 апреля, вновь мы зафиксировали рассылки, спекулирующие на трагедии в Бостоне. Темы рассылаемых сообщений имитировали заголовки новостей на сайте CNN (Opinion: Osama death was Faked by CIA - Boston Marathon Explosions Worse News. - CNN.com, Opinion: Updates on the Aftermath of Boston Marathon Explosions - CNN.com, Opinion: Boston Marathon Explosions - Obama Benefits? - CNN.com), но при этом имели абсолютно произвольные и, естественно, поддельные поля «From». Такие «новости» с шокирующими заголовками рассылались также от имени социальной сети LinkedIn и других респектабельных источников. Размещенные в сообщениях ссылки вели на взломанные сайты с эксплойт-паком BlackHole 2. В случае успешной атаки эксплойт загружал шпионскую программу, предназначенную для передачи данных с пользовательского компьютера: информацию из защищенных соединений браузера (HTTPS); cookies браузеров; скриншоты; список контактов, информацию о компьютере (установленные программы, конфигурация системы). «Лаборатория Касперского» детектирует эту программу как Backdoor.Win32.Papras.ppk.

В то время как многие люди по всему миру ещё пребывают в состоянии шока из-за произошедшего 16 апреля теракта в Бостоне, киберпреступники уже используют эту трагедию в своих грязных целях.

Сегодня к нам уже начали приходить подозрительные письма, содержащие вредоносные ссылки на веб-страницы с названием вида "news.html". Кликнув по такой ссылке, пользователь попадает на страницу со ссылками на легитимные видеоролики на YouTube, повествующие о трагическом событии в Бостоне. Но после 60-секундной задержки на странице активируется другая ссылка, ведущая на исполняемый файл.

После запуска на заражённой машине, зловред пытается установить соединение с несколькими IP-адресами, расположенными на Украине, в Аргентине и Тайване. Продукты «Лаборатории Касперского» распознают эту угрозу как Trojan-PSW.Win32.Tepfer.*.

MD5-суммы некоторых образцов зловреда:

5EA646FFDC1E9BC7759FDFC926DE7660

959E2DCAD471C86B4FDCF824A6A502DC

Согласно данным SecureWorks, многофункциональный троянец Stels, работающий на платформе Android, ныне распространяется вместе с р2р-модификацией ZeuS в рамках единой спам-кампании с участием ботнета Cutwail.

Обнаруженные экспертами вредоносные письма имитируют уведомление Налоговой службы США (IRS) и приурочены к заключительному этапу подачи налоговых деклараций в этой стране. От имени этого органа злоумышленники сообщают получателю об ошибках, якобы допущенных в поданном им документе, и предлагают кликнуть по указанной ссылке, чтобы воспользоваться другой формой.

Пройдя по ссылке, пользователь попадает на взломанный ресурс, который определяет версию ОС визитера и используемый им веб-браузер. Если заход осуществлен с мобильного устройства на базе Google Android, посетителю демонстрируется страница с предложением обновить Flash Player для корректного отображения контента. Под видом апдейта на смартфон загружается исполняемый файл flashplayer.android.update.apk, содержащий троянца Stels. Для его установки требуется разрешение пользователя, а кроме того, поскольку программа загружена не с официального сайта Google Play, жертва должна задействовать опцию "Unknown Sources" в настройках безопасности, т.е. разрешить установку приложения из стороннего источника.

Если получатель фальшивого письма использует Microsoft IE, Mozilla Firefox или Opera, то после перехода по спамерской ссылке ему будет продемонстрирована поддельная страница IRS с вредоносным iframe, перенаправляющим браузер на эксплойт-площадку Blackhole. Мало того, все ссылки на данной странице запускают вредоносный pdf-файл, который атакует уязвимость CVE-2010-0188 в Adobe Reader/Acrobat. В случае успешной эксплуатации на машину жертвы загружается р2р-версия ZeuS, известная как Gameover. Если визитер не использует ни Android, ни названные браузеры, его перенаправляют на мошеннический сайт по трудоустройству.

Эксперты SecureWorks проанализировали образцы Stels и установили, что данный Android-троянец способен воровать информацию из списка контактов жертвы, отправлять и перехватывать SMS-сообщения, осуществлять звонки на премиум-номера, а также загружать и запускать на исполнение другие вредоносные файлы. Он работает в фоновом режиме, общается с центром управления по HTTP и, судя по всему, умеет также рассылать почтовый спам, используя анонимный прокси-сервис anonymouse.org. Эксперты обнаружили других похитителей SMS, схожих по кодовой базе со Stels, и полагают, что все они происходят из одного источника или созданы на основе одного и того же тулкита.

Следует отметить, что спам-рассылки — довольно необычный способ распространения Android-зловредов, которые, как правило, скачиваются жертвами из неофициальных магазинов приложений. Так, более ранние варианты Stels, обнаруженные экспертами F-Secure в конце прошлого года, раздавались с веб-портала spaces.ru под видом бесплатных версий игр и вспомогательного ПО для Android.

В последнее время вновь участились случаи рассылки мошеннических писем, маскирующихся под новостную рассылку от телеканала CNN. Получателя привлекают шокирующим заголовком (падение индексов на бирже, избрание нового Папы Римского) и просят кликнуть по ссылке для прочтения полной версии статьи. Для достоверности в письме есть ссылки на настоящие странички CNN, но ссылка с шокирующей новостью является, конечно же, поддельной. Она ведет на взломанный сайт, откуда с помощью java-script идет переадресация на сайт с вредоносным программным обеспечением, в данном случае – с Blackhole Exploit kit.

Одновременно прошла волна мошеннических писем, имитирующих уведомления от социальной сети Facebook. В этих письмах спамеры предлагали получателю посмотреть новые комментарии к его фотографиям. Механизм действия спамерской ссылки был идентичным с вышеописанным случаем. Но, что интересней всего, мошенники даже не потрудились переделать ссылки. Если в первом случае для большего правдоподобия в постфиксе домена стояло «cnnbrnews.html», то такое же окончание ссылки в подделке под извещения от Facebook выглядят довольно небрежно.

В остальном, киберпреступники, к сожалению, такой рассеянности не проявили. Письма с вредоносными ссылками продолжают распространяться, что снова заставляет напомнить о необходимости осторожного обращения с подозрительными сообщениями.

Эксперты Fortinet обнаружили нового IM-червя, распространяемого через Skype и MSN Messenger.

После заражения компьютера данный зловред, нареченный W32/Rodpicom.A, проверяет наличие названных IM-приложений и терпеливо ждет их запуска, чтобы отослать по всем контактам жертвы спам-сообщение типа «lol is this your new profile pic?» («ха, это твой новый аватар?»), снабженное вредоносной ссылкой. Rodpicom также определяет языковую версию Windows по коду страны и применяет соответствующий шаблон, чтобы адресаты не заподозрили подмену отправителя.

Группа американских исследователей создала плагин для Chrome, позволяющий автоматически распознавать в Gmail-почте цепочечные письма, непроверенные слухи, а также мошеннические и опасные сообщения, использующие провокационные темы.

Большая часть этого почтового мусора распространяется из доверенных источников – присылается друзьями и родственниками, жаждущими поделиться “сенсацией” или тревожным слухом. Так называемые цепочечные письма вдобавок провоцируют получателя на пересылку сомнительного контента своим знакомым. В США героями досужих вымыслов часто становятся видные политические деятели или звезды шоу-бизнеса и спортивной арены. Популярной темой американских “уток”, лавиной распространяющихся по почтовым каналам, являются сказки про Обаму: президент вернул Аляску России, упразднил одну из ярчайших национальных традиций – установку рождественской елки перед Белым домом и т.п.

Ежегодно 31 октября во многих странах мира отмечается праздник Хэллоуин. Спамеры, конечно же, не могли обойти это событие стороной, и за последний месяц сотрудники ЛК регулярно детектировали рассылки, посвящённые этому празднику.

Фишинг - далеко не самая новая технология. Наоборот, такое ощущение, что она существовала всегда. Это показатель того, что она очень эффективна: казалось бы, вряд ли человек будет сообщать данные своего банковского счета просто потому, что его об этом спрашивают – и тем не менее, находятся такие, кто продолжает попадаться на удочку киберпреступников, использующих один из простейших методов мошенничества.

Однако осведомлённость пользователей и инструменты борьбы с фишингом усложняют задачу киберпреступников, которые пытаются заполучить наши денежки. Мы наблюдаем эти изменения в уменьшении количества спама. И это не единственная причина: для общения напрямую пользователи переходят на новые платформы, например, используют социальные сети

Сегодня я хотел бы продемонстрировать вам пример креативного способа обходить спам- и фишинговые фильтры.

Обнаружены новые спам-рассылки, ориентированные на пользователей Skype. Одна из них проводится по каналам электронной почты и нацелена на сбор регистрационных данных в Skype. Другая, более масштабная, раздает зловредов через ссылки в текстовых сообщениях, распространяемых по Skype.

Письма фишеров замаскированы под извещение Skype и используют логотип этой службы. Получателя уведомляют, что замена пароля якобы прошла успешно, а если “что-то выглядит не так”, можно восстановить прежний, перейдя по ссылке. Последняя ведет на поддельную страницу регистрации в Skype, запрашивающую логин и пароль.

Вредоносное сообщение, распространяемое по Skype, вопрошает: “is this your new profile pic?” (“Это что – новая картинка к твоему профилю?”). Русскоязычные пользователи могут также получить сообщение вида “ey eto vasha novaya kartina profil’?ваш_ник” При активации сопровождающей его ссылки на компьютер пользователя загружается новый вариант червя из семейства Dorkbot, оно же NgrBot. Этот зловред подгружает модуль-блокировщик, который шифрует файлы и требует 200 долл. в качестве выкупа.

Анализ компонентов нового Dorkbot, проводимый Trend Micro, показал, что у червя появился еще один модуль, который позволяет осуществлять накрутку кликов (click fraud). По словам экспертов, семейство Dorkbot известно с 2011 года и ранее занималось исключительно кражей персональных идентификаторов.