История налогового инспектора Zbot’a. Часть 2.

В прошлом месяце в нашем блоге рассказывалось о том, что троянец Zbot распространялся в спамерских сообщениях якобы от имени налоговой службы США.

В комментариях к посту было, как бы в шутку, сказано, что стоит помониторить другие акции по сбору налогов в других странах, на тему обнаружения в связи с такими акциями других рассылок содержащих Zbot’a. И ведь как в воду глядели!

Письма обнаружились нежданно-негаданно в нашем потоке и теперь они от британской налоговой службы.

Итак, я как спам-аналитик расскажу подробнее о письмах, чего в прошлом постинге не было (хочу заметить, письма не сильно изменились. Даже заголовок остался тем же.)

Пользователь, как водится, получал письмо:

Фишеры не постеснялись отправить свое письмо (от якобы британской налоговой службы) на адрес, расположенный в зоне ru. Кроме того, обратите внимание, я намеренно закрасила адрес получателя не полностью: в Taxpayer ID злоумышленники, опять же, без особых зазрений совести просто вставляют часть электронного адреса+ слово «contact»+набор цифр, напоминающий номер налогоплательщика.

Пройдя по ссылке напуганный «неплательщик» попадает на фишинговый сайт:

Фишинговая ссылка, как видим, подделана под ссылку на сайт британской налоговой, — на страничке сохранен логотип атакуемой организации. «Заполнение и оплата государственных налогов», — гласит текст прямо над ссылкой на exe-файл, — «это важная часть жизни и работы в Соединенном Королевстве». Далее предлагается скачать и исполнить этот самый экзешник, который должен был быть налоговой декларацией.

Exe-файл — это, как все уже догадались, никто иной как Zbot, которому, по всей видимости, очень понравилось собирать налоги.

Думаю, что не за горами рассылки от немецкой, французской и, например, российской налоговых служб. Дело-то, как заметил наш актиный пользователь SetupNick за малым. Уже готовый текст надо просто перевести на искомый язык.