Спам и фишинг

Спам «ВКонтакте»

Спам в социальных сетях — тема не новая и регулярно попадает в отчеты и доклады антивирусных компаний. Обычно в докладах говорится о характеристиках этого спама: таргетинг, тематика, «качество» и т.д., а вот откуда этот спам берется, обычно обходится, так как периодически это узнать трудно или практически невозможно.

Однако в описываемом случае спама в соц. сети «ВКонтакте» узнать, как происходит заражение аккаунтов, куда и как рассылался спам, оказалось не сложно — это потребовало начальных навыков работы с компьютером 8)

Итого:

  1. Спам


    Пример рассылаемого спам сообщения

    Обычный спам от «друга» со ссылкой, ведущей на блог liveinternet.ru, с описанием плагина в FireFox и ссылкой не него.

  2. Плагин

    Дополнения к firefox’у имеют расширение xpi и представляют из себя просто zip архив.

    Первые буквы PK в начале файла говорят о том, что это файл формата ZIP

    Переименовав расширение файла в «.zip», можно его разархивировать и посмотреть на его содержимое.

  3. XUL

    Внутри этого архива в специальном порядке содержится полная информация о плагине, его функциональности и работе. Самым интересным файлом во всей этой структуре является файл chromecontentcontent.xul, который содержит список файлов, участвующих в работе плагина.

     

    Содержимое файла content.xul

  4. REMOTE.JS

    Просмотрев файлы, необходимые для работы плагина, видим файл, находящийся не в исходном ZIP-архиве, а в интернете по адресу:
    http://81.177.33.**/smiles_vkontakte/remote.js.

    Просто открыв этот адрес в браузере, можно увидеть скрытый функционал этого плагина, где помимо всего прочего присутствует часть кода на JavaScript, отвечающего за рассылку спама.

     
    Часть кода, отвечающий за рассылку спама

  5. Замена букв

    Учитывая, что администрация соц. сети «ВКонтакте» регулярно проверяет и блокирует спам-рассылки, злоумышленники ввели в рассылку спам-сообщений функционал элементарной замены букв, чтобы текст сообщения постоянно видоизменялся и проходил через спамфильтры.

     

    Часть кода, отвечающего за видоизменения
    спам-сообщения для обхода спам-фильтров

    Вывод

    Все просто. Разработчики этого спам-бота взяли за основу плагин для сети «ВКонтакте» и добавили туда скрытый функционал для работы в виде модуля для рассылки спама по контактам. Самое интересное, что никто не мешает злоумышленникам сменить содержимое файла Remote.js и устроить… Впрочем об этом лучше не думать…

    PS.

    Спамерский плагин был добавлен в базы Антивируса Касперского как Trojan.JS.Spamvkont.a.

Спам «ВКонтакте»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике