Symantec рассказала об обнаружении опасности

Symantec Компания Symantec рассказала об обнаружении опасности, сформированной на способах социальной инженерии и исполняемой за счет Skype и прочих программ моментального размена известиями.

 Атака стартовала 29 октября, и платформа смогла ввести в заблуждение не менее 2,5 млн клиентов. Отечественным потерпевшим прибывало известие от клиента из их перечня контактов с подобным текстом: «это свежий аватар вашего профиля?)) http://goo.gl/f8p21?profile=имя_вашего_профиля».

В процессе атаки с помощью программ моментального размена известиями рассылаются сноски на вредное ПО.

Symantec рассказала об обнаружении опасности

План атаки

Когда жертва кликает по сноске goo.gl, происходит перенаправление на файлообменник Hotfile.com, где клиенту рекомендуется скачать zip-архив, имеющий вредную платформу W32.IRCBot.NG, маскирующуюся под стандартный документ. После того, как жертва распакует и опустит документ, вредная платформа ставит контакт с IRC-каналом, от которого начинает приобретать команды. В процессе следствия эксперты Symantec вели наблюдение, как вирусу было велено скачать с hotfile.com и включить второй документ. Во всех проведённых тестах этим документом обнаруживался W32.Phopifas, но есть возможность того, что зависимо от географического расположения жертвы скачиваемое вредное ПО вполне может быть разным. Тест W32.Phopifas продемонстрировал, что опасность несет ответственность за отправку моментальных известий не менее чем на 30 языках мира, при этом её отпечатки всегда приводят к W32.IRCBot.NG.
Так как в собственной криминальной схеме мошенники применяют сервис уменьшения URL-адресов goo.gl, Symantec может следить за статистикой переходов по этим сноскам. На сегодняшний день специалистам удалось определять 8 различных URL-адресов, применяемых W32.Phopifas, и получить статистику посланий к каждому из них. График ниже отображает частоту посланий к каждому из адресов, и имя сопряженного с ним zip-архива с вредной платформой. Имя архива также имеет дату начала применения этой сноски в масштабах оцениваемой W32.Phopifa-атаки.

Symantec рассказала об обнаружении опасности

Статистика переходов по сноскам мошенников

Несмотря на то что по этим цифрам трудно осуждать о количестве клиентов, которые закачали, распаковали и определили вредное ПО, эти числа демонстрируют, как чувствительны клиенты программ моментального размена известиями перед элементарными психическими ухватками.

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *