Фото со зловредом прилагаю

Поддельные уведомления  от имени различных финансовых и банковских организаций, служб бронирования билетов и отелей, служб доставки и других компаний активно используются спамерами для распространения вредоносных программ. При этом арсенал уловок киберпреступников постоянно пополняется. В частности, за последнее время мы зафиксировали ряд рассылок на английском и немецком языках, в которых злоумышленники пытаются замаскировать вредоносные программы под  фотографии и картинки.

В октябре злоумышленники от имени T-Mobile, оператора сотовой связи в Германии, рассылали поддельные уведомления, сообщающие о получении пользователем MMS. Для придания письму легитимности в адресе отправителя использовался официальный домен компании, тогда как на самом деле письмо было отправлено с другого адреса. В теле письма указывался номер телефона отправителя MMS и общая информация, касающаяся отправки и получения мультимедийного сообщения.

Предназначенная получателю уведомления «фотография» под названием «23-10-2013 13_64_09.jpeg.exe» находилась не в теле письма, а в приложенном к нему архиве «23-10-2013 43_69_10.zip». В названии вредоносного файла мошенники использовали популярный формат графических файлов JPEG, это должно было убедить получателя в том, что в архиве на самом деле картинка. Однако внимательный пользователь обратит внимание, что настоящее расширение файла — .exe. Данный исполняемый файл детектируется «Лабораторией Касперского» как Backdoor.Win32.Androm. Эта программа-бот позволяет злоумышленникам удаленно выполнять команды на зараженном компьютере, например, скачивать и запускать другие вредоносные программы без ведома его владельца.

Позже, в ноябре спамеры использовали для рассылки вредоносных писем название популярного сервиса для  обмена фотографиями и видеозаписями Instagram. Из поддельного уведомления, отправленного от имени представителей этого сервиса, пользователь узнавал, что фотография с ним была выложена в Instagram. Для просмотра снимка получатель письма должен был открыть ZIP-архив, где под видом графического файла «Photo DIG9048599868.jpeg.exe» скрывалась вредоносная программа Trojan.Win32.Neurevt. Данный многофункциональный бот  осуществляет кражу сохраненных в браузере данных (cookie и пароли), введенных на сайтах логинов и паролей, а также кодов от игр. Кроме того, он используется для загрузки на компьютер и запуска различных программ, а также для организации ботнетов для DDoS-атак. Одной из характерных особенностей бота является продвинутый функционал для противодействия разным защитным решениям. Например, он может блокировать запуск антивирусного ПО и сервиса Windows Update, мешать пользователю заходить на веб-ресурсы антивирусных компаний.

Другая уловка злоумышленников, не связанная с известными компаниями или сервисами, была зарегистрирована нами в ноябре. Письма вредоносной рассылки имитировали личную переписку, в ходе которой друзья обмениваются фотографиями. Заголовок письма предлагал получателю посмотреть некую фотографию, его собственную или друга/подруги, а в теле письма использовались лишь смайлики и звукоподражательные слова. Адреса отправителей были сгенерированы автоматически, хотя и содержали имена людей. Как и в других подобных рассылках, к письму прилагался архив с «фотографией», которая на самом деле являлась исполняемым файлом с двойным расширением. «Лаборатория Касперского» детектирует этот файл как Trojan-Downloader.Win32.Agent — троянец,  устанавливающий на компьютер жертвы фальшивую антивирусную программу. В результате на зараженном компьютере пользователя постоянно появляются всплывающие уведомления об обнаружении вирусов, для удаления которых пользователю необходимо купить полную версию «антивируса».  Файл с лже-антивирусом детектится нами как Trojan-FakeAV.Win32.SmartFortress2012.ambh.

Следует отметить, что вредоносный файл в архиве имеет  расширение .scr, обычно свойственное экранным заставкам Windows . Данный тип файлов, также как и расширение .exe, относится к исполняемым файлам, и может использоваться спамерами для установки вредоносных программ.

Получить доступ к компьютеру жертвы — одна из главных целей злоумышленников, рассылающих вредоносные письма, и для ее достижения спамеры чаще всего используют любопытство и невнимательность пользователей. Зараженный компьютер не только является источником ценной персональной информации, но и может использоваться для организации атак на других пользователей Интернет или крупные организации и компании. Избежать возможных неприятностей помогут внимательность и антивирусные решения.