Внимание — фишинг: псевдо-OWA

Мы зафиксировали фишинговую атаку, использующую популярность Outlook Web Access (OWA) — сервиса, позволяющего с помощью веб-обозревателя обратиться к почтовому ящику Microsoft Exchange Server с любого компьютера, имеющего подключение к интернету. Пользователь получал письмо, в котором говорилось, что из-за обновления системы безопасности настройки почты следует изменить.

Такое содержание характерно для фишинговых писем, однако, письмо выглядело более доверительно, так как злоумышленники подставляли в ссылку доменное имя сайта, на почтовые ящики которого рассылались письма. На самом деле, пройдя по ссылке, пользователь попадал на фишерский домен, по виду похожий на Outlook Web Access.

Там ему предлагалось скачать exe-файл якобы для обновления почтовых настроек. Однако файл содержал троянскую программу семейства Trojan-Spy.Win32.Zbot.

Что интересно, все фишерские домены принадлежали зонам eu и co.uk — довольно редкий случай, так как обычно подобные сайты находятся в доменных зонах стран третьего мира.

OWA — популярный сервис, используемый многими компаниями, поэтому улов фишеров потенциально велик. Поэтому мы настоятельно рекомендуем быть внимательнее и никогда не ходить по ссылкам из писем, а тем более не запускать exe-файлы.