Waledac атакует с поправкой на географию

Специалисты по сетевой безопасности зафиксировали «новостную» спам-рассылку с ботнета Waledac, нацеленную на распространение нового варианта одноименной троянской программы.

Вредоносные письма с тревожными заголовками снабжены коротким текстом и ссылкой. Активировав последнюю, получатель попадает на веб-страницу с логотипом новостного агентства Рейтер, повествующую о взрыве бомбы и многочисленных жертвах. В качестве свидетельства «достоверности» описываемого теракта злоумышленники разместили на странице дополнительные ссылки на Wikipedia и результаты поиска в Google.

Посетителю фальшивой страницы предлагается просмотреть некий видеоролик, якобы имеющий отношение к описанным событиям. При попытке его запустить на экран выводится сообщение о необходимости установить последнюю версию Flash Player. Содержимое файла, загружаемого под видом этого «обновления», опознано экспертами как еще один вариант Waledac.

Примечательно, что в данной кибератаке злоумышленники задействовали геолокатор. Логотип Рейтер и место взрыва, указанное в тексте «новости», меняются в зависимости от местонахождения IP-адреса посетителя. В данном случае географическая привязка – незамысловатый прием социальной инженерии, призванный спровоцировать потенциальную жертву на последующие действия.

Исследователи компании McAfee обнаружили, что поддельная веб-страница также содержит IFrame-эксплойт, автоматически активизирующийся при ее посещении.