Select language:

securelist.com Уровень опасности: 1
Детектируемые объекты
Спам и фишинг
Уязвимости и хакеры
Внутренние угрозы

Внимание - фишинг: псевдо-OWA 2


Печать
Bookmark and Share
Закладки
Сергей Голованов
опубликовано 15 окт 2009, 16:18  MSK
рейтинг постинга
0.5

В дополнение к предыдущему посту об использовании злоумышленниками поддельного OWA хотелось бы остановиться на технических аспектах данной атаки.

1. Спам

Данные спам-сообщения по предварительным данным были разосланы с ботнета pushdo, построенного с помощью вредоносных программ из семейства Backdoor.Win32.NewRes. Данные вредоносные программы распространяются через спам, социальные сети (с помощью вредоносных программ Net-Worm.Win32.Koobface), через взломанные сайты.

2. Фишинговый сайт

Фишинговый сайт, указанный в спам-сообщении, зарегистрирован на 15 постоянно меняющихся IP-адресах, расположенных в разных Автономных системах интернета.

Пример расположения фишингового сайта

Анализ организации расположения фишингового сайта и его динамически меняющегося содержимого под имя домена в адресе получателя спам-рассылки предполагает, что данная фишинг-атака произведена с помощью технологии «Rock Phish».

3. Троянец

Распространяемая таким образом троянская программа классифицируется «Лабораторией Касперского» как Trojan-Spy.Win32.Zbot. Данная вредоносная программа предназначена для кражи сохраненных на компьютере пользователей паролей от локальных программ, паролей для доступа к вебсайтам, перехвата данных, вводимых пользователем с клавиатуры, и т.д. Также троянец обладает возможностью устанавливать на зараженных компьютерах пользователей другие вредоносные программы. В данном случае троянец координировал свою работу с командным центром, установленным на Украине.

Итог:

Данная атака является одним из примеров атак с применением технологий, уже давно используемых злоумышленниками. Особенностью в этом случае стала подстановка доменного имени в обращении в письме и в ссылку и создание фишингового сайта под OWA. В остальном, все, как обычно 8)


Комментарии (4)

 
SetupNick15 окт 2009, 23:56
0
Спасибо за информацию) Ну и чтоб совсем идеально было, как можно легко узнать, что я заражён этим троянцем? Хоть как-то он своё присутсвие ведь выдаёт. Другое дело, что у него версий как моя зарплата, но есть и что-то общее в их поведении?

Или, было бы здорово получить бесплатную утилиту, которая точно мне скажет. Всё же сколько у нас разносчиков заразы, которые не подозревают, что они разносчики. Учитывая, какую популярность набрал Збот в последнее время, надо бы принять профилактические меры...
Александр Гостев16 окт 2009, 00:33
2
Re:
вы по ссылочке "Trojan-Spy.Win32.Zbot" сходите :)
SetupNick17 окт 2009, 14:46
0
Re: Re:
Сходил)Проверился) Чист) Спасибо)
Poznayka19 окт 2009, 15:49
1
Нормально написано..

Логин:
Пароль
Запомнить