Опубликовано 05 декабря 2011, 09:36

Доктор Веб: спамеры и вирусописатели забыли о выборах

По данным аналитиков компании «Доктор Веб» ноябрь 2011 года оказался отмечен распространением новых мошеннических схем, направленных против пользователей социальной сети ВКонтакте, владельцев мобильных устройств, а также появлением троянской программы, ворующей конфиденциальную информацию у фармацевтических компаний. Кроме того, в ноябре наблюдался значительный рост заражений пользовательских компьютеров вредоносными программами-энкодерами. Приближающиеся выборы в Государственную Думу РФ спамеры и вирусописатели, напротив, оставили без внимания.

Столь важное политическое событие, как выборы депутатов Государственной Думы Федерального Собрания Российской Федерации, прошедшие 4 декабря 2011 года, осталось практически не замеченным спамерами — вопреки ожиданиям, объем почтовых сообщений на политические темы в ноябре ничуть не увеличился по сравнению с предыдущими месяцами, оставаясь достаточно низким. Удивительно, но факт: среди спам-трафика, зафиксированного программным обеспечением Dr.Web, количество сообщений, посвященных политической жизни Украины, значительно превышает число писем, затрагивающих российские реалии.

Вместе с тем в ноябре была зафиксирована почтовая рассылка с темой письма «Зарплата военных вырастет, но количество надбавок и льгот резко снизится?» В сообщения был вложен документ Word, содержащий угрозу Exploit.Rtf.based. Данная угроза эксплуатирует уязвимость в Microsoft Word, позволяющую выполнять произвольный код при открытии инфицированного документа в формате RTF: благодаря использованию этой уязвимости вредоносное приложение может получить те же привилегии в операционной системе, что и сам пользователь.

Мошенничество ВКонтакте

Мошенничество ВКонтакте

В ноябре продолжились атаки мошенников на пользователей социальной сети ВКонтакте. Например, в одном из случаев сетевые мошенники оставляют на стене потенциальной жертвы (либо с использованием системы личных сообщений) послание, содержащее специально подготовленный ими видеоролик. Этот ролик рекламирует веб-сайт, якобы позволяющий бесплатно отправлять виртуальные подарки другим пользователям ВКонтакте и получать дополнительные голоса. Здесь потенциальной жертве предлагается найти в базах социальной сети похожих на нее людей, для чего следует указать свой номер телефона и ввести в специальную форму код, присланный в ответном SMS. Таким образом пользователь соглашается на условия платной подписки, в соответствии с которыми с его счета будет регулярно списываться определенная денежная сумма.

Еще одна мошенническая схема также использует принципы социальной инженерии. Известно, что пользователи относятся с большей степенью доверия к информации, поступающей от знакомых. Именно эту особенность человеческой психологии эксплуатируют злоумышленники, отсылая потенциальной жертве сообщение или запись на «стене» от одного из друзей с просьбой проголосовать за него на некоем сайте. А иногда сетевые жулики не ленятся даже создавать для решения своих задач целые поддельные сайты и используют для привлечения потенциальных жертв поисковую рекламу. Так, в процессе работы с сервисом Google пользователь может обратить внимание на рекламное объявление, демонстрирующее на страницах поисковой выдачи сообщение о том, что его «аккаунт заблокирован и требует активации». Тут же приводится ссылка на некий сайт vkankalte.ru.

Владельцы мобильных устройств с поддержкой Java также не остались без внимания кибермошенников: в ноябре жители Санкт-Петербурга, Свердловской, Воронежской, Московской, Липецкой областей, Краснодара, Екатеринбурга, Красноярска, Приморского края и Нижнего Новгорода подверглись атаке злоумышленников, использующих SMS мошенничество.

В начале ноября вирусописатели «порадовали» троянцем, специально созданным для похищения информации из приложений, используемых фармацевтическими компаниями. Запускаясь на инфицированном компьютере, BackDoor.Dande (написан на языке C) проверяет, не установлен ли он уже в системе, определяет имя текущего пользователя, а также версию ОС. Если это — Windows XP или Windows Server 2003, бэкдор устанавливает соединение с удаленным управляющим сервером и загружает оттуда зашифрованный конфигурационный файл, а также код троянской программы Trojan.PWS.Dande, которая дешифруется и сохраняется в одной из папок.

Кроме того, в ноябре 2011 года специалистами «Доктор Веб» была выявлена новая модификация многокомпонентного бэкдора для Mac OS Х, вошедшая в вирусные базы Dr.Web под именемBackDoor.Flashback.8. А вторая половина ноября ознаменовалась появлением новой модификации программы-вымогателя Trojan.MBRLock.

В целом можно сказать, что в ноябре 2011 года сохранилась средняя (по сравнению с предыдущими месяцами) динамика распространения угроз, на фоне которой отмечается значительный рост числа случаев шифрования пользовательских файлов троянцами семейства Trojan.Encoder и Trojan.FolderLock. Так, с начала ноября было зафиксировано 66 обращений пользователей, пострадавших от действий троянца Trojan.FolderLock, и только в последнюю неделю месяца — 63 заявки, связанные с действием шифровальщика Trojan.Encoder.123. Во избежание потери информации мы рекомендуем своевременно делать резервные копии хранящихся на компьютере данных.

Также постепенно внедряются новые схемы мошенничества в отношении пользователей социальных сетей с целью дискредитации аккаунтов. Получив доступ к учетным записям пользователей, злоумышленники рассылают от их имени рекламные сообщения и ссылки на фишинговые ресурсы, а также подписывают жертвы на различные платные услуги.

Источник новости: Доктор Веб