Вам кофе со зловредом?

Чтобы заставить получателя открыть вредоносное вложение, злоумышленники, как правило, делают ставку на шаблон письма. И здесь чаще всего срабатывают два основных приема: известное имя отправителя (банк, социальная сеть, провайдер или другая организация, с которой почти наверняка будет связан получатель) плюс интригующая или пугающая тематика сообщения. Оба этих приема в очередной раз постарались учесть злоумышленники, организовав атаку на пользователей от имени крупнейшей в мире сети кофеен Starbucks.

В сообщениях обнаруженной нами рассылки говорилось, что несколько часов назад один из друзей получателя сделал для него заказ в кофейне Starbucks в честь особого события. При этом друг просил не разглашать своего имени, чтобы создать интригу и заставить получателя прийти на место встречи. По такому случаю сотрудники кафе подготовили чудесное меню, ознакомиться с которым, а заодно узнать адрес и точное время празднования, можно, открыв вложение. Заканчивались письма пожеланием отличного вечера.

Всем сообщениям рассылки присваивалась высокая важность. При этом адреса отправителей, созданные на бесплатных почтовых сервисах Gmail и Yahoo!, менялись от письма к письму и представляли собой сгенерированные словосочетания типа incubationg46@, mendaciousker0@ и проч.

Вложение представляло собой исполняемый файл, который киберпреступники даже не потрудились замаскировать с помощью архива или двойного расширения. Видимо, они надеялись, что обрадованный получатель откроет файл, не задумываясь. «Лаборатория Касперского» детектирует вложенный файл как Trojan-Spy.Win32.Zbot.sapu, – модификацию одной из самых популярных шпионских программ семейства Zbot (ZeuS). Такие программы используются злоумышленниками для кражи различной конфиденциальной информации. А данный Zbot также может устанавливать руткит Rootkit.Win32.Necurs или Rootkit.Win64.Necurs, который сильно мешает работе антивирусов и других защитных решений.