Кому — бедствие, а спамерам — нажива

В Сети появился спам, эксплуатирующий интерес к «горячей» теме последствий урагана «Катрина», и множество сайтов-ловушек, на которых пользователей поджидают трояны или фишинг-атаки.

По информации компании Sophos, в Интернете распространяется спам, в котором нещадно используется интерес пользователей к «горячей» теме последствий урагана. Разумеется, ни о каком сочувствии к жертвам стихийного бедствия речи не идет, хотя в некоторых письмах и просят оказать им помощь или предлагается содействие в поиске пропавших родственников.

компания Sans Institute сообщает о спаме, в котором мошенники просят оказать помощь жертвам урагана и перевести деньги, используя PayPal. По словам эксперта Sans Institute, PayPal используется, поскольку позволяет получателям денег сохранить анонимность. Спамерами, как всегда, движет жажда наживы, и их не останавливает масштаб бедствия.

По данным Sophos, спамовые письма, снабженные броскими темами вроде «re: g8 Tropical storm flooded New Orleans» и «re: q1 Katrina killed as many as 80 people», содержат ссылки на сайт, на котором заинтересованный пользователь якобы может получить дополнительную информацию.

Кликнув на ссылку, пользователь попадает на сайт злоумышленников, откуда, используя уязвимости Internet Explorer, на компьютер пользователя загружается троян. Некоторые ссылки ведут на типичные спам-сайты, где может рекламироваться, например, виагра.

Sophos сообщает о нескольких троянах, которые могут заразить компьютеры пользователей, попавшихся на удочку «спама «Катрины», в том числе Cgab-A, Borobot-P, Borobot-Q, Borodldr-H и Inor-R.

По информации компании Websense, один из вариантов вредоносного кода почти идентичен тому, который распространялся ранее с помощью спама, использующего тему войны в Ираке.

Websense сообщает, что два сайта, на которых происходит заражение таким трояном, находятся в Мексике, еще один — за пределами США. Еще один сайт, на который ведут ссылки в спамовых письмах, эксплуатирующих тему «Катрины», компания Secure Computing обнаружила в Польше. Помимо упомянутого трояна, польский сайт пытается «одарить» посетителей еще одним вредоносным кодом, используя методы социальной инженерии: пользователям предлагается загрузить бесплатную программу якобы для выявления червя Zotob. На самом деле загружается троян, который передает управление над зараженной машиной злоумышленникам.

По информации Websense, только за два дня после урагана было зарегистрировано 106 сайтов, в названиях которых использованы различные комбинации слов «katrina» и «donate» или «disaster». А первые такие сайты стали появляться сразу после того, как ураган получил свое имя, и, по мере усиления «Катрины», их число росло. Большинство из этих сайтов не являются легитимными или были куплены криминальными структурами с тем, чтобы использовать их для фишинг-атак.

Некоторые из доменных имен выставлены на продажу на аукционе eBay. Стартовая цена зарегистрированного 31 августа hurricanekatrinasdevastation.com составляет $3999.

Использование темы урагана «Катрина» для спам- и фишинг-атак, а также распространения вредоносных программ не было неожиданностью для экспертов. Интернет-злоумышленники не оставили без внимания ни одного трагического события, будь то цунами в юго-восточной Азии, война в Ираке или взрывы в лондонском метро. Так что появление в Сети «спама «Катрины» было лишь вопросом времени. К сожалению, ожидания экспертов оправдались очень быстро, и многие из них считают, что это только начало.