Троянец на заказ

Электронная почта по-прежнему остается популярным средством общения, особенно в деловой среде. Практически каждый сотрудник даже небольшой компании имеет персональный рабочий электронный адрес для переписки с коллегами и партнерами. И часто этот адрес становится объектом интереса злоумышленников. Мы уже давно фиксируем в спам-трафике поддельные сообщения, имитирующие деловую переписку, однако в конце лета количество подобных нежелательных писем значительно увеличилось.

Обнаруженные нами письма можно разделить на два типа:

• Письма с предложениями сделать заказ.
• Письма-уведомления о сделанных заказах.

Подобные сообщения могут не только содержать рекламную информацию, но и использоваться для распространения вредоносных программ.

Письма с предложениями сделать заказ

Авторами писем с предложением купить или заказать некие товары обычно выступают представители различных фабрик и компаний, в том числе китайских. Текст таких сообщений содержит стандартные уверения в хорошем качестве продукции, самых низких ценах, множестве клиентов в разных странах и других особенностях предложения, которые могут заинтересовать потенциального покупателя.

Зачастую письма с предложением что-то приобрести имеют не рекламный, а вредоносный характер – в этом случае письмо может содержать архив с каким-либо зловредом. В рассматриваемом нами примере злоумышленники пытаются выдать вредоносное вложение за архив с информацией о новой продукции. На самом деле во вложении содержится троянец-загрузчик Trojan-Downloader.Win32.Upatre.dwfd. Помимо опасного вложения подобные сообщения также могут содержать рассказ о компании, имя вымышленного сотрудника, от которого пришло письмо, его должность и контактные данные.

Письма о сделанных заказах

Письма о сделанных заказах в основном содержат просьбы принять новый заказ или подтвердить возможность поставки заказанных товаров, и такие письма преобладали в спам-трафике. Все подобные сообщения, обнаруженные нами, содержали вредоносные вложения, а информация о несуществующем заказе использовалась лишь для введения получателя в заблуждение.
Как правило, такие сообщения приходят от имени сотрудников компаний. Текст предельно краткий, одно-два предложения, и сводится к информированию получателя о якобы сделанном им заказе. Для придания письму вида настоящей деловой переписки мошенники приводили полную информацию об отправителе в автоподписи в конце письма, зачастую используя при этом контактные данные реальных организаций. Однако адрес отправителя вполне мог не совпадать с контактами в подписи, что является явным признаком подделки. В ZIP-архивах под видом заказов мошенники рассылали различные троянские программы.

Также нам встречались письма, текст которых содержал автоподпись с указанием только имени сотрудника, его должности и контактных данных, без названия компании и какой-либо дополнительной информации. Такие письма содержали фразы с просьбой ответить быстрее, упоминания о срочности и т.д. Во вложениях вместо заказа находились червь Worm.Win32.VBNA или программа AdWare.Win32.MultiPlug, использующаяся для размещения рекламных баннеров на страницах в браузере жертвы.

Авторы писем еще одной вредоносной рассылки пытались убедить получателя в том, что его электронный адрес отправителю дали поставщики, клиенты или другие сотрудничающие с ним представители других компаний. Тем самым мошенники хотят убедить получателя в безопасности письма, а главным образом вредоносного вложения, содержащего Trojan-Spy.Win32.Zbot.vsex. Отметим, что для достижения своей цели мошенники даже не считали нужным конкретизировать, кто предоставил им контактные данные получателя.

В арсенале злоумышленников есть и другие уловки, которые используются для убеждения получателя в безопасности писем и вложений. Например, упоминание, что отправитель впервые делает заказ, должно ослабить бдительность получателя, заметившего незнакомый адрес в поле From. С этой же целью злоумышленники пишут о том, как им понравилось качество предлагаемой компанией продукции, и о желании сделать еще один заказ.

Вот два примера подобных писем. В одном из них злоумышленники рассылали архив «Secured Purchase Order», содержащий VBS-скрипт, который скачивал и открывал файл Microsoft Word. Внутри документа находился макрос, который в свою очередь скачивал и запускал другой файл – весьма популярный банковский троянец семейства Trojan-Spy.Win32.ZBot. В другом примере вложенный архив «Purchase Order» содержал кейлоггер семейства KeyBase.

Вредоносные спам-сообщения, маскируемые злоумышленниками под деловую переписку, особенно опасны для сотрудников компаний, так как невнимательность и плохое знание основ компьютерной безопасности ставит под угрозу всю организацию. Поэтому рекомендуем с осторожностью относиться к письмам с вложениями, особенно от незнакомых отправителей. Если адрес в поле From не совпадает с контактными данными в тексте письма, если он зарегистрирован на сервисе бесплатной почты, то скорее всего перед вами подделка. Также следует максимально осторожно относится к любым вложенным файлам и обязательно проверять их при помощи защитного ПО прежде чем открывать.