Инциденты

Отправь SMS на короткий номер и получи: цитату из УК РФ

Сегодня коллега прислал мне в ICQ ссылку, которую он получил от неизвестного пользователя. Исходя из адреса http://vk-spy.*****togo.ru я предположил, что по ней располагается что–то нехорошее.

Так и оказалось – ссылка ведет на сайт, на котором предлагается прочитать личные сообщения любого пользователя сети ВКонтакте. Я указал ID своего собственного аккаунта. После этого в течение некоторого времени я наблюдал некую активность, имитирующую сбор моих сообщений. Для пущей убедительности на основе выбранного ID на сайт подгружается информация из социальной сети об аккаунте пользователя, в том числе его (в данном случае моя) фотография. Через некоторое время я получил предложение скачать архив с собранной информацией. Что я и сделал.

Предложение скачать архив сообщений пользователя ВКонтакте на сайте http://vk-spy.*****togo.ru

Что интересно, полученный архив не является сам по себе вредоносным и не несет в себе зловреда, а обладает довольно специфичным функционалом. При попытке извлечь файлы появляется сообщение о том, что архив защищен и для получения кода — пароля для его распаковки необходимо дважды отправить SMS на короткий номер.

Окно с предложением отправить SMS и получить пароль для распаковки архива

Я пошел другим путем – открыл архив в специальной программе для анализа файлов и обнаружил, что все упакованные файлы содержатся в незашифрованном виде. После более детального анализа оказалось, что ответный код проверяется на стороннем сервере и не используется для расшифровки.

Перейдем к самому интересному – содержимому архива. В нем я нашел несколько файлов:

Результаты.txt (несколько одинаковых экземпляров);
Описание.txt;
screenshot.jpg;
tvoeradio.exe;
БОНУС.txt;
отчёт – ХХХ.txt.

Как я и ожидал, моих личных сообщений там не оказалось. Открыв файл Результаты.txt, я прочел следующий текст:

«Содержимое было удалено как нарушающее Уголовный Кодекс Российской Федерации и правила хостинга.

Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений

1. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан наказывается штрафом в размере от пятидесяти до ста минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года.

2. То же деяние, совершенное лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного …»

В данном случае мы имеем дело с очередным обманом: мошенники нашли еще один повод спровоцировать пользователей отправить платное SMS. Взамен любопытные получают txt-файлы с цитатой из УК РФ.

Впрочем, помимо цитат из Уголовного Кодекса в архиве находится еще три файла: легальная программа «Твоё Радио Десктоп» (tvoeradio.exe) и ее реклама (Описание.txt и screenshot.jpg). А в качестве бонуса в файле БОНУС.txt содержится адрес страницы, на которой можно бесплатно зарегистрироваться на сайте http://vza****ke.com/ (в обычном случае регистрация требует отправки платной SMS).

Зачем мошенникам понадобилось рекламировать радио и рассылать ссылку для бесплатной регистрации на сайте, не совсем понятно. Как правило, альтруизмом злоумышленники не отличаются, так что ничего хорошего от их «бонусов» я бы не ожидал.

Отправь SMS на короткий номер и получи: цитату из УК РФ

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике