Спецпроекты

Безопасность Пользователю Интернет Маркет

W32.Phopifas собрал более 2,5 млн кликов с помощью Skype

Корпорация Symantec обнаружила угрозу, основанную на методах социальной инженерии и осуществляемую посредством Skype и других программ мгновенного обмена сообщениями. Как сообщили CNews в компании, атака началась 29 сентября, и программа уже успела ввести в заблуждение более 2,5 млн пользователей.

В ходе атаки при помощи программ мгновенного обмена сообщениями рассылаются ссылки на вредоносное ПО. Так, российским жертвам приходило сообщение от пользователя из их списка контактов с таким текстом: «это новый аватар вашего профиля?)) http://goo.gl/f8p21?profile=имя_вашего_профиля».

Когда жертва кликает по ссылке goo.gl, происходит переадресация на файлообменник Hotfile.com, где пользователю предлагается скачать zip-архив, содержащий вредоносную программу W32.IRCBot.NG, маскирующуюся под обычный файл. После того как жертва распакует и запустит файл, вредоносная программа устанавливает контакт с IRC-каналом, от которого начинает получать команды.

В ходе изучения угрозы специалисты Symantec, в частности, наблюдали, как вирусу было приказано скачать с hotfile.com и запустить еще один файл. Во всех проведённых тестах этим файлом оказывался W32.Phopifas, однако есть вероятность того, что в зависимости от географического местоположения жертвы скачиваемое вредоносное ПО может быть различным. Анализ W32.Phopifas показал, что угроза ответственна за отправку мгновенных сообщений более чем на 30 языках мира, при этом её следы всегда приводят к W32.IRCBot.NG.

Сценарий атаки
Сценарий атаки

Поскольку в своей преступной схеме злоумышленники используют сервис сокращения URL-адресов goo.gl, Symantec может следить за статистикой переходов по этим ссылкам. На данный момент экспертам удалось идентифицировать 8 разных URL-адресов, используемыхW32.Phopifas, и получить статистику обращений к каждому из них. График ниже отражает частоту обращений к каждому из адресов, а также имя связанного с ним zip-архива с вредоносной программой. Имя архива также содержит дату начала использования данной ссылки в рамках рассматриваемой W32.Phopifa-атаки.

Статистика переходов по ссылкам злоумышленников
Статистика переходов по ссылкам злоумышленников

«Хотя по этим цифрам сложно судить о количестве пользователей, которые скачали, распаковали и установили вредоносное ПО, эти цифры показывают, насколько уязвимы пользователи программ мгновенного обмена сообщениями перед простыми психологическими уловками», — считают эксперты Symantec.

В Symantec рекомендуют использовать последние технологии, чтобы защититься от угроз такого типа.

Татьяна Короткова

Короткая ссылка