Инциденты

Чемпионат мира: спамеры пробивают пенальти

В 2014 году пройдут сразу два крупнейших спортивных мероприятия: Чемпионат мира по футболу в Бразилии и Олимпийские игры в Сочи. В ноябре мы уже писали о мошеннической рассылке использующей Чемпионат мир, ее авторы пытались заманить получателя выдуманным выигрышем в лотерею. В январе количество таких рассылок увеличилось. Сюжет обнаруженных нами писем был одинаковым: получателю сообщали, что его электронный адрес, выбранный случайным образом из миллионов других, победил в лотерее и теперь он стал обладателем  огромного выигрыша.  Чтобы забрать причитающиеся деньги, необходимо связаться с организаторами по указанным в письме адресам и телефонам.

Отметим, что тело обнаруженных писем либо было пустым, либо содержало одну фразу — «Посмотрите вложение для получения подробной информации» или просто «Откройте вложение». Содержимое вложенного файла с дополнительной информацией, который мошенники просили открыть, менялось от письма к письму, как и формат вложения — JPEG, PDF или DOC. В этом файле содержалась вся информация о выигрыше, а в его названии  упоминались FIFA или Чемпионат мира. Кроме того, для оформления содержимого файла мошенники использовали изображения логотипов чемпионата, главного приза и фотографии с церемонии объявления страны-хозяйки Мундиаля 2014.

 

В конце января мы также обнаружили рассылку с вредоносными вложениями, эксплуатирующую  предстоящий Чемпионат мира в Бразилии. В поддельном письме от имени сайта copa2014.gov.br, официального канала связи правительства Бразилии с прессой для мероприятий FIFA, пользователя поздравляли с тем, что он стал счастливым обладателем двух билетов на Чемпионат Мира. Распечатать выигранный электронный билет можно было, перейдя по указанной в письме ссылке. Если пользователь попадался на приманку, то вместо желанных билетов на его компьютер загружалась вредоносная программа вида Trojan-Downloader, которая, в свою очередь, закачивала червя Worm.VBS.Dinihou. Данный червь не только используется для скачивания и запуска посторонних файлов без ведома пользователя, но и инфицирует подключенные к компьютеру  USB-накопители. Для придания письму легитимного вида злоумышленники использовали логотипы Чемпионата мира и на первый взгляд достоверный адрес в поле отправителя. Однако если присмотреться внимательнее, можно увидеть, что в письме указан домен .com, а не .gov, что явно указывает на подделку.

 

Наши коллеги из Бразилии обнаружили похожие вредоносные рассылки. Их авторы предлагали пользователям бесплатные билеты на Чемпионат мира, бесплатный перелет в Бразилию и другие «подарки». Целью злоумышленников была кража персональных данных пользователя, в первую очередь данных его банковской карты.

Мелкие и средние компании также не упустили возможности прорекламировать свои услуги в преддверии Чемпионата мира и рассылали пользователям предложения мобильных услуг на территории Бразилии по выгодным ценам.

 

Китайские фабрики и заводы предлагали чехлы на смартфоны известных марок с логотипами любимых мировых футбольных клубов.

 

Крупные мировые события спамеры охотно используют для самых различных целей, от обычной рекламы до выуживания денежных средств и кражи персональной информации. Поэтому следует быть предельно внимательным с незапрошенной корреспонденцией. Письма, сообщающие о неожиданном выигрыше в лотерею или внезапном получении дорогостоящих билетов, могут нанести материальный ущерб и стать причиной заражения компьютера.

Чемпионат мира: спамеры пробивают пенальти

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике