Вредоносные новости — рождение, смерть и шпионский скандал

Статья написана совместно с Ram Herkanaidu

Сегодня мы поймали любопытную спам-рассылку. Взгляните на эти скриншоты:

Как это часто бывает, спамеры используют завлекательные заголовки, чтобы спровоцировать пользователя пройти по ссылке. В данном случае – самые горячие темы из актуальных новостей: мы встречали письма из этой рассылки с новостями про новорожденного английского принца, про шпионский скандал с Эдвардом Сноуденом и про страшную аварию поезда в Испании. Спамеры имитируют новостную рассылку CNN News, используя для этого логотип CNN. Ни одна из ссылок в этих письмах на сайт CNN не ведет.

Мы поймали множество писем из этой рассылки, и все они имеют похожую структуру. В каждом письме содержится картинка или то, что выглядит как вставленное в текст новости видео. Похоже на то, что спамеры используют шаблон, а потом заполняют его разным содержимым. Особенно интересен первый пример. Заголовок в этом письме обещает рассказ об идеальном подарке для “королевского младенца” – новорожденного сына принца Уильяма и его супруги Кейт Миддлтон (кстати, о спаме, использующем эту горячую тему, мы уже писали здесь). Но в самом письме содержится совсем другая новость – о страшной железнодорожной катастрофе в Испании. Больше всего это похоже на ошибку спамеров.

При нажатии любой ссылке в письме пользователь после нескольких редиректов оказывается на странице с эксплойтом, который мы детектируем как HEUR:Exploit.Script.Generic. С помощью этого эксплойта компьютер заражается шпионской программой Trojan-PSW.Win32.Fareit.pjt. Это вор паролей, предназначенный в первую очередь для кражи куки браузеров, паролей от FTP-клиентов и почтовых программ.