JavaScript-знакомства

В октябре мы обнаружили несколько вредоносных рассылок, содержащих js-загрузчики. Отправители писем пытались привлечь внимание получателей, используя в теле сообщения текст, характерный для дейтинг-спама. В обнаруженных нами письмах злоумышленники представлялись некой девушкой, находящейся в поиске второй половины или только связи на одну ночь. В своих сообщениях спамеры использовали старые приемы, например, меняющийся от письма к письму текст. Одни письма содержали подробное описание (имя, возраст, место жительства и др.) потенциальной подруги, другие — лишь краткое приветствие и призыв скорее посмотреть фотографии.

Злоумышленники пытались убедить получателя открыть вложения, выдавая их за фотографии девушки-автора письма. Однако вместо обещанных фотографий в ZIP-архивах содержались вредоносные JavaScript-загрузчики, детектируемые продуктами «Лаборатории Касперского» как Trojan-Downloader.Script.Generic.

В приведенном выше примере троянец-загрузчик, находящийся в ZIP-архиве, скачивал на компьютер жертвы бинарный файл boxun4.bin и устанавливал спам-бот Tofsee (также известный как Gheg). Этот бот используется злоумышленниками для проведения последующих спам-рассылок. Командные центры, к которым обращалась программа, территориально находились в Китае.

В другом письме в ZIP-архиве bikini pic2.zip также находился троянец-загрузчик с расширением .js, который закачивал исполняемый EXE-файл, на поверку оказавшийся троянцем Trojan.Win32.Bayrob. Принцип работы этого зловреда прост: сначала Bayrob обращается к удаленному серверу (в нашем случай сервер в доменной зоне .online), загружает другие вредоносные программы, а затем отправляет собранные с их помощью данные злоумышленникам. Отметим, что кража сведений о банковских картах, логины и пароли от систем онлайн-банкинга являются основной целью мошенников. Как результат, желание увидеть чужие интимные фотографии может обойтись жертве очень дорого в прямом и переносном смысле.