В октябре кибермошенники были очень активны. Особенно это проявилось в использовании технологий фишинга и различных методов социальной инженерии. "Доктор Веб" поделился своими наблюдениями.
Уже не в первый раз агрессивной атаке подвергаются пользователи соцсети "ВКонтакте". В прошлом месяце одна из них подразумевала отправку жертве личного сообщения от имени одного из людей, занесенных в список друзей. При переходе по ссылке, содержащейся в сообщении, пользователь перенаправлялся на созданное злоумышленниками приложение, которое демонстрировало значок учетной записи жертвы и пояснение, сообщающее, что в Сети опубликован видеоролик с его участием. С выбором просмотра ссылки пользователь перенаправлялся на принадлежащий мошенникам сайт, при этом на экране появлялось диалоговое окно с предложением указать логин и пароль учетной записи социальной сети "ВКонтакте". Если жертва выполняла данное требование, эта информация передавалась злоумышленникам, жертва перенаправлялась на сайт поддельной файлообменной сети, требующей перед скачиванием файлов указать номер мобильного телефона и подписывающей таким образом пользователей на платные услуги.
Другая мошенническая схема, направленная против пользователей "В Контакте", называется "Мои гости". На самом деле этот функционал в настоящее время отсутствует в данной социальной сети, но благодаря хитро выстроенной системе киберпреступники могут подписать доверчивых россиян на платные услуги.
В прошлом месяце атаке фишеров подверглись пользователи компаний "Петерхост", SpaceWeb и FirstVDS, Timeweb и Agava. Во всех зафиксированных случаях злоумышленники с помощью общедоступных служб WHOIS определяли список сайтов, размещающихся у выбранного хостинг-провайдера, тем же способом они вычисляли контактный адрес электронной почты владельца ресурса. На этот адрес отправлялось письмо якобы от имени администрации хостинг-провайдера. Клиентам SpaceWeb и FirstVDS мошенники сообщали о том, что размещенный у этого провайдера сайт якобы превысил лимит нагрузки для текущего тарифного плана. В целях решения этой проблемы получателю письма предлагалось перейти по ссылке, ведущей на поддельную веб-страницу, внешний вид которой копировал оформление официального сайта хостинг-провайдера. В то же время URL фишингового сайта, содержащий в себе часть адреса настоящего ресурса хостинг-провайдера, располагался на другом домене. Если жертва вводила в соответствующую форму учетные данные своего аккаунта, они попадали в руки мошенников.
Новый троянец Win32.HLLM.MailSpamer распространяется по электронной почте с помощью содержащих вредоносную ссылку писем, имеющих тему "Re: С проекта "Ответы@Mail.Ru".
Также в октябре специалистами "Доктор Веб" выявлена новая программа-вымогатель, блокирующая главную загрузочную запись компьютера. Ее особенность заключается в том, что Trojan.MBRlock.16 не содержит в своих ресурсах необходимый для разблокировки операционной системы код, а генерирует его на основе данных об аппаратной конфигурации компьютера.
Еще один обнаруженный троянец Trojan.SkynetRef.1, представляющий собой локальный http-прокси-сервер, имеет основным назначением подмену веб-страниц в окне браузера. Для распространения этой программы вирусописатели создали несколько полноценных сайтов, с помощью которых осуществляется раздача вредоносного ПО. Среди них - портал fvsn.org, сайты operadownload.info, downloadutorrent.info, downloadflashplayer.biz.