Атака на сеть Twitter

На этой неделе настала очередь социальной сети Twitter выполнить роль плацдарма для вирусной атаки, причем направленной не только на пользователей этой сети, но и на Интернет в целом. Зараженный аккаунт сети Twitter twitter.com/[skip]/, названный португальским словом, означающим «милый кролик» содержит фотографию, рекламирующую размещенное в сети эротическое видео.

Очевидно, что учетная запись была создана специально для организации заражения пользователей. Об этом свидетельствует то, что на страницу аккаунта загружена только одна фотография, содержащая ссылку на видео.
Кликнув по ссылке, пользователь видит на своем мониторе окно загрузки так называемой новой версии Adobe Flash, которая якобы необходима для просмотра видео. В итоге на пользовательской машине оказывается файл с именем Adobe Flash (разумеется, это фальшивка). Такая техника проникновения на компьютеры очень популярна сейчас.На самом деле это троянский загрузчик, доставляющий следом за собой еще десять вредоносных программ, нацеленных на кражу банковской информации и маскирующихся по mp3-файлы. Впервые мы детектировали этого троянца с помощью проактивных технологий как Heur.Downloader и после этого добавили его сигнатуру в антивирусные базы под именем Trojan-Downloader.Win32.Banload.sco. На данный момент только один пользователь подписан на уведомления о новых сообщениях, публикуемых на вредоносном аккаунте:

Мы полагаем, что этот единственный подписчик — один из авторов атаки, и он выполняет определенную ему роль: дает другим пользователям — потенциальным жертвам — понять, что у аккаунта есть подписчики, он вполне реален и не представляет опасности.

Следы этой атаки однозначно ведут в Бразилию. О таком происхождении опасной учетной записи говорит и использование португальского слова для имени аккаунта, и веб-серверы, на которых размещены банковские троянцы, и адрес электронной почты для отправки данных, собранных на инфицированных компьютерах.

Такой способ атаки не требует серьезных программистских навыков: злоумышленникам нужно только купить несколько троянцев, загрузить их на веб-сервер и создать серию взаимосвязанных аккаунтов в сети Twitter, так чтобы они «следили» друг за другом.

Теперь остается только поместить ссылку в социальную сеть. К сожалению, поиск Google выдает ссылки на незащищенные (то есть видимые для всех) аккаунты сети Twitter, так что вредоносные страницы, созданные и распространенные со знанием законов социальной инженерии, оказываются в числе лидеров.

Такая атака может стать еще более опасной, если дополнить ее, например, уязвимостью сети Twitter (возможность автоматического подключения к «слежению» за сообщениями пользователя). Наш американский коллега Райан Нарейн писал об этом (http://blogs.zdnet.com/security/?p=1611) на прошлой неделе. К счастью, мы не нашли ссылок, ведущих на этот аккаунт, на форумах, блогах или в других социальных сетях. Пока не нашли.

Отметим, однако, что такой способ атаки используется в сети Twitter с конца 2007 года. Мы написали здесь только об одном таком примере и продолжаем наблюдать за вредоносным аккаунтом, а также следим, не появятся ли аналогичные опасные учетные записи.