Фишеры нацелились на пользователей Microsoft Outlook

Хотя целями большинства попыток фишинга становятся сайты микроблогов, социальных сетей и финансовых учреждений, одна из недавних нестандартных атак была направлена на учетные записи электронной почты.

Компания Trend Micro информирует о рассылке сообщений по электронной почте, предлагающих пользователям перенастроить Microsoft Outlook через Интернет. Получателям этого сообщения предлагалось щелкнуть на ссылке для перехода на страницу настройки, хотя в действительности ссылка вела на фишинговый сайт.

В отличие от микроблогов, социальных сетей и даже банковских счетов, для получения полного контроля над учетной записью электронной почты недостаточно имени пользователя и пароля.

Кроме того, требуется информация о почтовых серверах,ведьименно эти сведения запрашивались на странице фишингового сайта. Получив эту информацию, злоумышленники могут получить полный контроль над учетной записью электронной почты, возможность читать сообщения, похищать важную информацию и рассылать спам другим пользователям.

Более того, поскольку данная атака направлена на столь популярную программу электронной почты, как Microsoft Outlook, она подвергает риску огромное число конечных пользователей.

В начале прошлой недели специалисты Trend Micro сообщили одной из государственных организаций о признаках заражения страниц ее сайта фреймами с вредоносным кодом. В то время на сайте округа Сан-Бернардино появился фрейм, ведущий пользователей на известные зараженные страницы в домене videosdivx.net.

Адрес страницы содержал строку «KATRINA+HALILI+NUDE», видя которую, пользователь мог предположить, что на ней находятся видеоролики или фотографии филиппинской актрисы. Халили в настоящее время вовлечена в широко обсуждаемый скандал с порнографическим видео на Филиппинах.

И хотя в настоящее время вредоносная страница удалена с сайта, специалист по исследованию угроз Джозеф Пакамарра выявил еще одну атаку на основе того же самого сайта. На этот раз жертвой атаки стал сайт широко известного информационного портала г. Вашингтон (США) «Ask George». Посетители страницы этого сайта, зараженной кодом со словами «katrina+halili+sexy+pic», перенаправлялись на сайт в домене hot-unlikely-tube.com

Щелкнув на черном экране, пользователь получал сообщение, что для просмотра видео необходимо загрузить кодек. Однако вместо кодека на компьютер пользователя загружалось вредоносное программное обеспечение: троянец TROJ_DLOAD.TID и его основная часть TROJ_COGNAC.J.

Вирус TROJ_COGNAC.J сохраняется в файле b.exe и изменяет системный реестр таким образом, чтобы этот вирус загружался при каждом запуске компьютера. Вирус помогает троянцу TROJ_DLOAD.TID загружать файлы с именами qwerce.gif и a.exe с различных адресов.

На момент написания данной статьи файл .gif был безвредным, а адреса, с которых производились попытки загружать файл a.exe, были недоступны. И хотя это говорит о том, что в данный момент опасность для жертв этой атаки незначительна, содержание загружаемых файлов может в любой момент измениться.

Дата изменения зараженных страниц сайта – раннее утро 30 мая по американскому времени. (Поправка от 09:40 московского времени 3 июня: на этот момент страницы сайта уже очищены. Администраторам сайтов рекомендуется проверять свои сайты, особенно сайты с большим объемом трафика и активным взаимодействием с пользователями, на защищенность от злоумышленников.)

Спам очень раздражает по своей натуре, и поэтому мы пользуемся фильтрами, чтобы хоть как-то защитить свою электронную почту . К сожалению, недавно обнаружился «фильтр спама», который, вместо того чтобы блокировать спам, делает прямо противоположное.

В распоряжение специалистов Trend Micro попало сообщение, в котором было указано, что оно было отправлено службой поддержки системы электронной почты в Интернете. Сообщение, имитирующее предупреждение системы безопасности, говорило о том, что почтовый сервер получателя рассылает спам из-за того, что он заражен вирусом, и этот вирус представляет собой опасность для пользователей из адресной книги и других пользователей сети.

Для устранения этой ситуации пользователю предлагалось загрузить и установить Фильтр против спама, а затем проверить свой компьютер на наличие вирусов. В письме было указано, что в противном случае учетная запись пользователя будет блокирована.

Сообщение было написано на португальском языке и содержало приблизительно следующий текст:

Уведомление службы безопасности

Уважаемый пользователь, мы обнаружили, что ваш почтовый сервер автоматически рассылает сообщения, относящиеся к категории спама и заражающие получателей и других пользователей сети вирусом Virus 32/Fbd. Кроме того, он отправляет фальшивые сообщения на другие серверы электронной почты.

Рекомендуем вам установить систему Antispam для устранения данной ситуации. В противном случае поставщик услуг WebMail может блокировать вашу учетную запись электронной почты. Благодарим вас за внимание!

Загрузите программу фильтрации спама Antispam и проверки компьютера на наличие вирусов по следующему адресу:
http://{BLOCKED}/suporte/suporte-email/spam

С уважением,
Служба безопасности Webmail.

* Сообщение отправлено автоматическим фильтром спама. Оно не требует ответа.

Однако по ссылке, приведенной в письме, загружается вредоносная программа.

Эта программа классифицируется как троянский конь TROJ_DLOADER.MCS. TROJ_DLOADER.MCS заражает компьютер вирусом TSPY_KEYSPY.S, который записывает последовательность нажимаемых клавиш на клавиатуре и отправляет ее удаленному пользователю. Заражение этим вирусом может привести к нарушению безопасности зараженной системы и похищению важнейшей информации.

Поиск информации о рейсе Air France 447 выдает ссылку на фальшивый антивирус
Хотя расследование авиакатастрофы Air France, рейс 447, еще не завершено, злоумышленникам в Интернете этого и не надо: они уже пытаются нажиться на случившейся трагедии.

С помощью технологий позиционирования сайтов в поисковых системах пользователи, искавшие информацию об авиакатастрофе, направлялись на страницы, которые через цепочку дальнейших перенаправлений осуществляли загрузку фальшивых антивирусных программ.

Страницы по адресам, показанным выше, детектируются как содержащие вредоносный код:
• hxxp:// cnnnews2009.{BLOCKED}.com/french-airbus-crash.html - детектируется как HTML_REDIRECT.ED
• hxxp:// cnnnews2009.{BLOCKED}.com/images/menu.js - детектируется как JS_CRYPTED.HW
• hxxp:// {BLOCKED}ware-live-scanv3.com/1/?id=2022&smersh=8186a276d&back==DQwxDDwNcQNMI=N/My computer Online Scan.htm - детектируется как JS_FAKEAV.BIM

На момент написания данной статьи остальные адреса были недоступны. Сама загружаемая фальшивка с именем Install_2022.exe детектируется как TROJ_FAKEAV.BIM. В случае запуска эта программа загружает из Интернета еще один файл, который детектируется как TROJ_YEKTEL.AA.

Запуск файла TROJ_YEKTEL.AA приводит к тому, что пользователю предлагается установить антивирусную программу под названием Personal Antivirus. Если пользователь продолжит установку, он получит многочисленные сообщения о том, что его компьютер заражен вирусами.

Эти сообщения - фальшивки, ставящие своей целью запугивание пользователя в надежде, что он приобретет полную версию данной программы, разумеется, за плату.

Глубокое сожаление вызывает то обстоятельство, что злоумышленники пытаются извлечь выгоду даже из подобных трагедий, о которых скорбит весь мир.