Письма-подделки под официальные уведомления различных финансовых институтов, в первую очередь банков, являются излюбленным приемом фишеров. В таких письмах получателя под благовидным предлогом просят ввести конфиденциальные данные на «официальном» сайте, который на самом деле является копией настоящего сайта банка, или прислать их «администрации» в ответном письме.

Но иногда злоумышленники используют имена известных финансовых институтов совсем для других целей. Так, 13 мая нами была зафиксирована рассылка, создатели которой выдавали себя за представителей крупнейшего европейского банка HSBC. Под предлогом возникновения проблем с последним банковским платежом, злоумышленники настойчиво рекомендовали получателю письма открыть вложенный архив HSBC_Payment_2839181.zip для получения более подробной информации о транзакции. Увы, распаковка архива и открытие находящегося в нем файла не решали несуществующие банковские проблемы. Вместо этого на компьютер инсталлировалась вредоносная программа Trojan-PSW.Win32.Fareit.beq, предназначенная для кражи cookies браузеров, паролей от FTP-клиентов, данных авторизации на почтовых сервисах и другой информации.

Как только в мире случается какое-то громкое событие, спамеры и кибермошенники немедленно используют его для привлечения внимания пользователей к своим рассылкам. Не стали исключением и последние трагические события в США: теракт на марафоне Бостоне и взрыв на химическом заводе в Техасе послужили поводом для создания новых рассылок вредоносного спама.

Уже 17 апреля мы зафиксировали первую рассылку писем, использующую происшествие в Бостоне для привлечения внимания получателей. Спам-сообщения содержали ссылки на взломанные страницы, на которых злоумышленники разместили вредоносные объекты.

На следующий день, 18 апреля, вновь мы зафиксировали рассылки, спекулирующие на трагедии в Бостоне. Темы рассылаемых сообщений имитировали заголовки новостей на сайте CNN (Opinion: Osama death was Faked by CIA - Boston Marathon Explosions Worse News. - CNN.com, Opinion: Updates on the Aftermath of Boston Marathon Explosions - CNN.com, Opinion: Boston Marathon Explosions - Obama Benefits? - CNN.com), но при этом имели абсолютно произвольные и, естественно, поддельные поля «From». Такие «новости» с шокирующими заголовками рассылались также от имени социальной сети LinkedIn и других респектабельных источников. Размещенные в сообщениях ссылки вели на взломанные сайты с эксплойт-паком BlackHole 2. В случае успешной атаки эксплойт загружал шпионскую программу, предназначенную для передачи данных с пользовательского компьютера: информацию из защищенных соединений браузера (HTTPS); cookies браузеров; скриншоты; список контактов, информацию о компьютере (установленные программы, конфигурация системы). «Лаборатория Касперского» детектирует эту программу как Backdoor.Win32.Papras.ppk.

В то время как многие люди по всему миру ещё пребывают в состоянии шока из-за произошедшего 16 апреля теракта в Бостоне, киберпреступники уже используют эту трагедию в своих грязных целях.

Сегодня к нам уже начали приходить подозрительные письма, содержащие вредоносные ссылки на веб-страницы с названием вида "news.html". Кликнув по такой ссылке, пользователь попадает на страницу со ссылками на легитимные видеоролики на YouTube, повествующие о трагическом событии в Бостоне. Но после 60-секундной задержки на странице активируется другая ссылка, ведущая на исполняемый файл.

После запуска на заражённой машине, зловред пытается установить соединение с несколькими IP-адресами, расположенными на Украине, в Аргентине и Тайване. Продукты «Лаборатории Касперского» распознают эту угрозу как Trojan-PSW.Win32.Tepfer.*.

MD5-суммы некоторых образцов зловреда:

5EA646FFDC1E9BC7759FDFC926DE7660

959E2DCAD471C86B4FDCF824A6A502DC

Cразу после публикации моего предыдущего поста  о вредоносных атаках на пользователей Skype знакомая из Венесуэлы прислала мне скриншот своего Skype-клиента с аналогичной (с точки зрения распространения) кампанией, отличающейся, однако, своими целями и происхождением. Вот оригинальный скриншот:

(Перевод с испанского: “это моя любимая фотография с тобой”)

На наших глазах разворачивается новая вредоносная кампания против пользователей Skype. На данный момент она находится в активной фазе.

Атака на потенциальных жертв происходила с применением приемов социальной инженерии: с уже зараженных машин пользователям из списка контактов Skype рассылаются сообщения следующего вида:

i don't think i will ever sleep again after seeing this photo http://www.goo.gl/XXXXX?image=IMG0540250-JPG

tell me what you think of this picture i edited http://www.goo.gl/XXXXX?image=IMG0540250-JPG

По данным службы коротких ссылок Goo.gl, до 4-го апреля вредоносная ссылка собрала более 170 тысяч кликов. При этом кампания велась весьма активно – около 10 тысяч кликов в час, или примерно 2,7 кликов в секунду!

Большинство жертв находятся на территории России и Украины:

В прошлом мы видели целевые атаки против тибетских и уйгурских активистов на платформах Windows и Mac OS X. Мы задокументировали несколько интересных атак (Подарок на день рождения Далай-ламы и Волна кибератак на уйгуров — пользователей MacOSX), в которых использовались ZIP-файлы, а также документы в форматах DOC, XLS и PDF, начиненные эксплойтами.

Несколько дней назад был взломан электронный ящик известного тибетского активиста; с него впоследствии совершались целевые атаки против других активистов и правозащитников. Самое интересное заключается в том, что письма, через которые выполнялись целевые атаки, содержали вложение формата APK — зловред под Android.

Атака

24 марта 2013 года был взломан электронный ящик известного тибетского активиста и использован для целевого фишинга (spear phishing). Фишинговые письма рассылались по списку контактов и выглядели так:

На днях венгерская лаборатория CrySyS Lab (Лаборатория криптографии и системной безопасности) совместно с Управлением национальной безопасности Венгрии (NBF) опубликовала подробную информацию о резонасной целевой атаке против Венгрии. Данные по конкретным целям атаки не сообщаются, а подробности инцидента остаются засекреченными.

Учитывая возможные последствия подобной атаки, Глобальный центр исследований «Лаборатории Касперского» выполнил технический анализ кампании и связанных с ней образцов вредоносного ПО.

Ниже представлен короткий перечень ответов на часто задаваемые вопросы. Вы можете также загрузить документ, в котором представлены данные выполненного нами технического анализа. Ссылка на него дана в конце этой заметки.

Что это такое?

«TeamSpy» — это операция в области кибершпионажа, целями которой являются политические деятели и правозащитники высокого уровня на всей территории СНГ и восточноевропейских стран. В число жертв также входят государственные организации и частные компании. Атаки продолжаются уже почти десять лет. В частности, о них в 2012 году писали белорусские активисты.

Почему было выбрано название TeamSpy?

Злоумышленники удаленно управляют компьютерами жертв, используя легитимное средство удаленного управления TeamViewer. Это приложение, подписанное действительными цифровыми сертификатами, использует более 100 миллионов пользователей по всему миру. Чтобы не позволить пользователю обнаружить слежку, злоумышленники динамически изменяют код TeamViewer в оперативной памяти, чтобы скрыть все признаки своего присутствия в системе.

Вирусописатели всегда старались сбивать детектирование антивирусов. В последнее время в случае с Trojan-SMS под платформу Android для этих целей активно используются Trojan-Downloader: создается маленькое незаметное приложение, весь функционал которого заключен в выкачивании и установке Trojan-SMS, который, в свою очередь, уже будет опустошать счет пользователя. Один из таких троянцев и привлек наше внимание.

При установке он требует минимум разрешений и показывает иконку от легального приложения «WiFi Mouse HD».

Чем же он интересен? Большая часть подобных троянцев обладает минимальным функционалом. В этом же файле достаточно много кода. Соответственно, его поведение не так уж и просто.

20 марта в новостях появились многочисленные сообщения о нескольких кибератаках, нацеленных на различные жертвы в Южной Корее.

Группа преступников, именующая себя «Whois Team», оставила на атакованных сайтах некоторое количество сообщений:

Четвертого марта мы обнаружили, что наш продукт Linux Mail Security блокирует большое число необычных сообщений. Все письма содержали одно и то же вложение в формате PDF (MD5: 97b720519aefa00da58026f03d818251), однако были отправлены с разных электронных адресов.

Электронные письма были написаны по-немецки, причем большая часть из них была отправлена с немецких IP-адресов. На карте ниже показано географическое распределение этих адресов: