Троянские вести из зоны вооруженного конфликта

В начале января специалистами по безопасности была зафиксирована рассылка вредоносных сообщений от имени новостного канала CNN на тему последнего вооруженного столкновения в секторе Газа. Последовав инструкциям злоумышленников, неосторожные получатели за три «клика» загружали на свой компьютер программу-шпион, ориентированную на хищение персональных данных при установлении SSL-соединений на резидентной машине.

По свидетельству экспертов, злонамеренные письма были оформлены в виде новостного бюллетеня, снабженного броскими заголовками. В поле «from» были указаны поддельные адреса различных служб CNN. Активация приведенной в теле письма ссылки открывала веб-страницу, имитирующую новостной ресурс этой компании. Если посетитель пытался просмотреть «видеоролик», якобы содержащий интригующие подробности израильско-палестинского конфликта, или просто задерживался на этой странице, выводилось сообщение о необходимости загрузить Adobe Flash Player 10 с веб-хостинга, адрес которого был указан ссылкой.

При активации итоговой ссылки на машину жертвы загружалась троянская программа-даунлоудер, которая, в свою очередь, загружала с другого адреса троянца с функциями кей-логгера и анализатора сетевых пакетов, защищенными руткитом. Отслеживая FTP, POP3, IMAP, ICQ и HTTP-трафик в резидентной системе, троянец собирал конфиденциальную информацию и отсылал ее на свой сервер. Во избежание обнаружения он также отключал на резидентной системе брандмауэр и центр безопасности Windows.

По оценке исследователей компании AppRiver, вредоносные сообщения, против обыкновения, были безупречно оформлены и не содержали языковых ошибок. Поддельная веб-страница CNN также была исполнена на высоком профессиональном уровне. Однако, все эксперты отмечают, что распространявшиеся с помощью данной спам-рассылки троянские программы не новы, а использующая их криминальная группировка хорошо известна. Перед Новым годом она по тому же сценарию провела спам-рассылку, ориентированную на пользователей социального веб-сайта classmates.com.

Исследователи компании Marshal установили, что данная спам-рассылка была проведена с ботнета Pushdo. Благодаря оперативности экспертов RSA, кибератака по истечении суток угасла. За время проведения атаки в компании MX Logic было зафиксировано примерно 250000 вредоносных сообщений. Доменное имя в URL поддельной веб-страницы CNN периодически изменялось. Выяснилось, что вредоносный веб-хостинг был размещен на китайских серверах, а IP-адрес сервера-получателя похищенной пользовательской информации (91.211.65.30), согласно базе данных Whois, принадлежит обслуживающей украинских клиентов подсети одной из екатеринбургских компаний.