Накануне инаугурации нового президента США специалисты по безопасности зафиксировали спам-рассылку с ботнета Waledac, нацеленную на расширение его боевого потенциала. В злонамеренных письмах утверждалось, что Барак Обама якобы отказался от высокого поста, так как признал свою программу по спасению «тонущего корабля» несостоятельной.
По свидетельству экспертов, эти ложные сообщения были оформлены одной текстовой строкой и снабжены ссылкой. Заголовки отличались релевантностью и относительным разнообразием; в качестве отправителя было указано произвольное частное лицо. Пройдя по указанной ссылке, получатель попадал на новостную страницу, искусно имитирующую веб-сайт barackobama.com. Однако сфальсифицированный пост о самоотводе Обамы содержал несколько грамматических ошибок.
Поддельная страница была заряжена эксплойтами, ориентированными на уязвимости в веб-браузере. Более того, при активации любой ссылки на этой веб-странице на компьютер пользователя загружался исполняемый файл, содержащий один из вариантов W32.Waledac. Исследователи отмечают, что имя этого файла, как и имя домена в URL поддельной веб-страницы, отличаются большим разнообразием и, в основном, связаны с темой спам-рассылки.
По данным компании PandaLabs, все задействованные в данной кибератаке домены оформлены китайским регистратором Xinnet Technology Corp. На настоящий момент исследователи зафиксировали 75 таких доменов; вредоносные веб-хосты защищены от обнаружения технологией fast flux.
Waledac ориентирован на хищение конфиденциальной информации, сбор адресов электронной почты для рассылки спама и может выполнять функции бэкдора, открывая злоумышленникам возможность удаленно управлять инфицированной машиной.
По оценке экспертов, производительность данного ботнета в настоящее время составляет 5-16 тысяч сообщений в час. Его вклад в спам-трафик пока невелик – менее 1% от общего объема спама в Сети, однако ожидается, что по мере распространения инфекции этот показатель будет неуклонно возрастать.
Обамомания: «зловредные» слухи