Письма-подделки под официальные уведомления различных финансовых институтов, в первую очередь банков, являются излюбленным приемом фишеров. В таких письмах получателя под благовидным предлогом просят ввести конфиденциальные данные на «официальном» сайте, который на самом деле является копией настоящего сайта банка, или прислать их «администрации» в ответном письме.

Но иногда злоумышленники используют имена известных финансовых институтов совсем для других целей. Так, 13 мая нами была зафиксирована рассылка, создатели которой выдавали себя за представителей крупнейшего европейского банка HSBC. Под предлогом возникновения проблем с последним банковским платежом, злоумышленники настойчиво рекомендовали получателю письма открыть вложенный архив HSBC_Payment_2839181.zip для получения более подробной информации о транзакции. Увы, распаковка архива и открытие находящегося в нем файла не решали несуществующие банковские проблемы. Вместо этого на компьютер инсталлировалась вредоносная программа Trojan-PSW.Win32.Fareit.beq, предназначенная для кражи cookies браузеров, паролей от FTP-клиентов, данных авторизации на почтовых сервисах и другой информации.

 

Как многие и предполагали, мошеннические сообщения с просьбами о пожертвованиях для пострадавших в Японии появляются в ящиках пользователей. Подробно изучив одно из таких сообщений, мы обнаружили следующее:

Это сообщение было отправлено с канадского IP-адреса через почтовый сервер, расположенный в Испании. В полях «От» и «Ответить» отображается японский почтовый адрес, скорее всего, фальшивый, а в самом письме в качестве получателя денежных средств, переводимых через Western Union, указано имя «Sasiki Nakatawo», крайне необычное, если вообще не выдуманное. Потенциальных жертв просят переслать их данные и контрольный номер денежного перевода на почтовый адрес в Гонконге. Кстати, сообщения были созданы в мейлере с использованием набора символов "Windows-1251" (Cyrillic).

Как видим, в этой схеме присутствуют несколько мест, расположенных по всему миру. Однако решения «Лаборатории Касперского», фильтрующие сообщения, помещают это мошенническое послание именно туда, куда следует — в папку «СПАМ».

Специалистами «Лаборатории Касперского» была обнаружена рассылка спама, содержащего ссылки якобы на информацию о землетрясении в Японии. На самом деле «горячая» тема использовалась, чтобы заразить компьютеры пользователей.

На днях мы обнаружили, что через сервисы обмена мгновенными сообщениями была проведена спам-рассылка сообщений с вредоносными ссылками. Как выяснилось, рассылка производилась IM-червем Zeroll. Бот генерировал разные сообщения в зависимости от языка получателя. Вот некоторые из них:

“Wie findest du das Foto?”
“seen this?? :D %s”
“This is the funniest photo ever!”
“bekijk deze foto :D”
“uita-te la aceasta fotografie :D”

Как и во многих подобных случаях, злоумышленники использовали методы социальной инженерии, предлагая получателям посмотреть картинки с заманчивыми названиями. В конец сообщения добавлялась ссылка вида http://www.facebook.com/l.php?u=********.org/Jenny.jpg. Кроме ссылки на файл Jenny.jpg рассылалась и аналогичная ссылка на Sexy.jpg.

Страница, на которую ведет ссылка “http://www.facebook.com/l.php?u=”, сама по себе зловредной не является — она содержит предупреждение от Facebook о том, что пользователь покидает сайт.

Предупреждение от Facebook

Если после “l.php?u=” добавить ссылку на произвольный сайт, то по ссылке также откроется окно с предупреждением Facebook. Однако после того, как пользователь нажмет кнопку “продолжить”, он по подставленной ссылке будет перенаправлен на соответствующую страницу. Этим и воспользовались злоумышленники, дополнив легитимную ссылку ссылкой на вредоносный ресурс.

Когда браузер переходит на страницу ********.org/Jenny.jpg, ему выдается файл “PIC1274214241-JPG-www.facebook.com.exe”, который может быть запущен на исполнение пользователем. Далее, по тексту, упоминая jenny.jpg и sexy.jpg, будет подразумеваться именно исполняемый файл, упомянутый в предыдущем предложении.

После анализа “jenny.jpg” и “sexy.jpg”, выяснилось, что это обычные даунлоадеры, защищенные упаковщиком, написанном на Visual Basic.

Фрагмент кода даунлоадера после полной распаковки файла “jenny.jpg”

Задача даунлоадеров стандартна для этого вида программ: скачать на зараженный компьютер еще одну вредоносную программу — файл srce.exe. А чтобы пользователь ничего не заподозрил, даунлоадеры после установки на компьютере открывают обещанную в разосланном спам-сообщении «интересную» картинку. Картинка подгружается из интернета — ссылка на нее видна на скриншоте.

Что же представляет из себя srce.exe? Это дроппер + загрузчик, внешняя оболочка которого, опять же, написана с использованием Visual Basic. Скачивает он червя IM-Worm.Win32.XorBot.a, который использует Yahoo Messenger для рассылки сообщений пользователям.

Таким образом, в ходе данной спам-рассылки в IM-сообщениях используется не прямая ссылка на вредоносный объект, а ссылка, указывающая на страницу Facebook. Можно сказать, что в данном случае Facebook используется как сервис, аналогичный bit.ly: он позволяет преобразовывать ссылки и переходить на них через собственный домен.

В настоящий момент спам-атака Zeroll продолжается. В сообщениях рассылаются ссылки на другие файлы, но с не менее «заманчивыми» именами — “Girls.jpg” и “Marisella.jpg”. И хотя многие знают, что нельзя бездумно переходить по ссылкам, даже если они присланы людьми из контакт-листа, не лишним будет об этом еще раз напомнить. Злоумышленники изобретательны — и спам от Zeroll очередной раз это подтверждает.

Спамеры (как и любые мошенники) — большие мастера наживаться на массовых бедах. Чем больше людей вовлечено в неприятное событие и чем больше СМИ трубят о нем, тем для них лучше. Год назад такой благодатной темой был финансовый кризис. Этой осенью спамерам снова повезло — в страну пришел свиной грипп.

На прошлой неделе мы уже рассказывали о спам-рассылке, рекламирующей марлевые повязки. Сегодня были зафиксированы еще две рассылки, в которых спамеры рекламируют уже более серьезные услуги, связанные с эпидемией.

Первая рассылка посвящена рекламе медицинских препаратов. Конечно, те препараты, которые действительно помогают против свиного гриппа, уже неоднократно названы и в дополнительной рекламе не нуждаются. Но разве спамеры не найдут лазейку? Приведенное ниже письмо изящно маскируется под информативное письмо, развенчивающее мифы о разных методах защиты от гриппа. Почти все факты повторяют уже сказанное в новостях и статьях специалистов. Но в один из пунктов включены названия препаратов, которые, собственно, и рекламируются данной рассылкой.

 

Другая рассылка предназначена уже не частным лицам, а организациям. Ее создатели чутко отреагировали на последние новости. Стоило появиться информации о грядущей вакцинации против свиного гриппа, как в спаме уже появилось предложение всем желающим организациям заказать прививки для своих сотрудников.

Как уже было сказано, массовые события, способные испугать многих людей, — хорошая кормушка для спамеров. Свиной грипп пока еще не начал сдавать свои позиции, и пока это так, продолжит укреплять свои позиции и спам про грипп.

Каждый, кто регулярно смотрит новости, слышал об эпидемии свиного гриппа. Слышали о ней и спамеры.

Не прошло еще и недели с первых сообщений о том, что на Украине начался ажиотажный спрос на марлевые повязки и противовирусные препараты, как спамеры подготовили свой ответ эпидемии.

Они запустили спам-рассылку с рекламой марлевых повязок.

Спамеры бросились на помощь, чтобы ликвидировать нехватку повязок и лекарсв? Это было бы очень благородно и романтично.

Но правда, скорее всего, очевиднее и прозаичнее. Вероятнее всего, что спамеры закупили марлевые повязки в тех же аптеках, поспособствовав обострению их дефицита. А теперь готовятся заработать, продавая их в несколько раз дороже.

На мой взгляд, было бы куда предпочтительнее, если бы спамеры продвигали идею защиты от гриппа с помощью шапочек из фольги. Вот это была бы идиллия - спамеры рекламируют, доверчивые пользователи покупают… А марлевые повязки приобретали бы не спекулянты, а те, кому повязки действительно необходимы.

Будьте здоровы!

Если вам пришло сообщение о замене пароля, снабженное zip-вложением и отправленное от имени службы техподдержки Facebook или MySpace, — не верьте. Это работа спамботов. Администрация социальной сети никогда не воспользуется электронной почтой, чтобы предупредить вас о взломе аккаунта, и уж тем более не будет высылать новый пароль вложенным файлом.

По свидетельству экспертов, первые спамовые послания на эту тему с поддельным обратным адресом Facebook появились 26 октября. Прикрепленный zip-файл, как и следовало ожидать, содержал сюрприз в виде вредоносной программы, которой в ЛК было присвоено имя Packed.Win32.Krap.w. В начале атаки ее детектировали менее трети антивирусов из списка VirusTotal. При запуске зловред соединялся с двумя командными серверами в Голландии и в Казахстане — и загружал другие вредоносные файлы, в том числе представителя семейства Bredolab (Backdoor.Win32.Bredolab). Эти троянские бэкдоры позволяют злоумышленникам установить полный контроль над зараженным компьютером.

В первый день атаки Websense насчитала более 90 тыс. таких писем. На следующий день, по оценке Cloudmark, их поток увеличился до 500 тыс., а на третий составил почти три четверти миллиона. Затем имя отправителя в строке From: было изменено на «Myspace», хотя текст «подтверждения смены пароля» и вредоносное вложение остались прежними. Не исключено, что в ближайшем будущем объектами спам-кампании могут стать пользователи других социальных сервисов. Вероятно, ее авторы надеются, что после и скандальной публикаци идентификаторов почтовых веб-аккаунтов такой предлог, как забота о безопасности пользователя, будет достаточным, чтобы убедить его открыть вредоносное вложение.

Интересно, что вы сделаете, получив по почте такое сообщение ?

(Примерный перевод:
От: начальник
Тема: вернись, есть разговор
Сообщение: Взгляни, пожалуйста, на документ в аттаче и зайди ко мне. Обсудим, как поступить.
Спасибо, удачного дня)

Обнаружив эти письма на спам-ловушках, исследователи Trend Micro не преминули поинтересоваться содержимым вложенного файла с расширением «zip». Им оказался спамбот Cutwail, с помощью которого операторы ботнета Pushdo во втором квартале ежедневно рассылали около 7,7 млрд. нелегитимных сообщений.

Cutwail автоматически активируется при каждом запуске инфицированной системы. Вдобавок он приводит с собой симбиотического приятеля — троянского дроппера. Так что, получив на «мыло» аналогичные инструкции от «босса», лучше подтвердить свою готовность по внутреннему телефону и послушать, как отреагирует ваше начальство.

«Нет, ребята, я не гордый!
Не загадывая вдаль,
Так скажу: зачем мне орден?
Я согласен на медаль». (с) Твардовский

Видимо, припомнив именно эти бессмертные строчки из «Василия Теркина», мошенники решили воспользоваться новой схемой. Они разослали спам, содержащий «официальное уведомление» о том, что теперь каждый ветеран или просто заслуженный сотрудник может получить медаль «за доблестный труд». Для этого руководителям организаций, где трудятся заслуженные и уважаемые работники, всего-то и надо, что предоставить персональные данные сотрудников, которых необходимо представить к награде.