Инциденты

И еще раз о доверии

«Последний выходной день прошел отлично: было тепло и светило солнце, поэтому мы весь день гуляли с друзьями, радуясь наступающей весне. Вдобавок, придя домой, я обнаружил в почтовом ящике письмо от интернет-магазина, где я регулярно покупаю одежду и обувь. В нем меня поздравили и сообщили, что я могу получить бесплатную дисконтную карту. Отличное завершение дня!»

Наверное, приблизительно такое сообщение я бы хотел опубликовать в блог. Однако в конце марта в России холодно и ветрено, а за «бесплатными дисконтными картами» зачастую скрываются угрозы безопасности.Поэтому я сразу посмотрел на пришедшее письмо с подозрением.

Наметанный взгляд сразу выделил в нем такие изъяны:

  • Письмо составлено на двух языках
  • Ссылка из письма ведет отнюдь не на веб-сайт упомянутого интернет-магазина
  • «Приз» по-английски — это все-таки «prize», а не «prise»
  • Спамеры невнимательно отнеслись к заполнению своего же шаблона: обратите внимание на переменные «#code#» и «#email#» 🙂

Разумеется, кликать по ссылке из письма я не стал, а исследовал ее в безопасной среде. Что же за ней скрывалось?

Сразу три фрейма, ссылающихся на разные страницы. В первом (главном) фрейме загрузился официальный сайт Yahoo, ссылка во втором была недоступна. А в третьем, тем временем, незаметно начал действовать java-загрузчик Trojan-Downloader.Java.OpenConnection.dl.

Его финальной целью была загрузка и запуск Trojan.Win32.FakeAV.btxt — очередного поддельного антивируса.

Техническая сторона атаки на сам магазин, скорее всего, очень простая: с недавнего времени движком для магазина стала служить популярная платформа osCommerce, в которой неоднократно находили уязвимости для несанкционированного доступа.

Выводы из этой истории, как всегда, очень простые, но очень важные.

Сегодня, пользуясь интернетом, нужно относиться с максимальным подозрением ко всему происходящему на экране. Даже к информации, полученной от максимально доверенных источников.

Кроме того, необходимо всегда «подстраховываться» современными средствами защиты от компьютерных угроз. И, наконец, следить за обновлениями системы, браузера, а также популярных программных продуктов (в особенности Java, Adobe Reader, Adobe Flash).

Администраторам ресурсов необходимо внимательно следить за обновлениями установленного на сервере ПО и соблюдать меры безопасности для уменьшения вероятности заражения своих посетителей.

P.S. Бесплатную дисконтную карту я, конечно, в итоге не получил. Зато теперь у меня есть небольшая, но приятная скидка на следующую покупку за содействие в выявлении возможных причин этой спам-рассылки 🙂

И еще раз о доверии

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике