PandaLabs зафиксировала две массированные кибератаки
PandaLabs зафиксировала две новые массированные кибератаки с целью сбора данных для кражи личной информации.
Первая атака заключается в отправке почтовых сообщений, симулирующих подтверждение покупки, а в действительности зараженных трояном Downloader.KBR. Сообщение выглядит так: тема: "Order Confirmation number: WC9921564"; текст сообщения: "Dear Sir/Madam, Thank you for shopping with our internet shop. Your order, WC9921564, has been received. Summary of your order you can see in the attachment file. This email is to confirm the receipt of your order. Please do not reply as this email was sent from our automated confirmation system...". Вложенный в это сообщение файл, содержащий троян, называется WC9921564.exe.
Троян Downloader.KCC скрывается в файле paycheck_322082.zip, вложенном в спамовые сообщения, массированно рассылаемые за последние несколько дней. Эти сообщения выдают себя за сообщения об отзыве платежей, сделанных с кредитной карты пользователя. Сообщение, полученное жертвами, имеет тему: [paycheck 322082] Credit Card Chargeback, а текст сообщения выглядит так: "Sir, We have received a notice from your card service stating that there was a chargeback made by the owner of the card that you paid for your account with. This is a very serious matter. I have deducted the amount of the chargeback, GBP 102.10, from your account and added our standard fee of GBP 23.95 as well. (You can
see your payment details in attachment.)...".
Однако следует учитывать то, что в обоих случаях сообщение может отличаться, и даже быть переведено на другие языки, поскольку зараженные сообщения рассылаются вручную.
“Это становится довольно эффективной формой социальной инженерии. Вместо использования других приманок, создатель таких сообщений пытается напугать пользователей, сообщая о покупках, которых они не делали, или проблемах с платежами с их кредитной карты. Встревоженные возможностью проблем с их финансами, пользователь читает письмо и открывает вложенные файлы, не думая о последствиях”, - объясняет Луис Корронс, директор PandaLabs.
Если пользователь запускает файл, вложенный в любое из двух приведенных выше сообщений, троян устанавливается на компьютер. Downloader.KCC и Downloader.KBR выполняют схожие действия и скачивают в систему троян Spyforms.A, который разработан специально для того, чтобы красть с зараженных компьютеров данные, такие как IP-адрес и пароль для доступа в интернет. По словам Луиса Корронса: “С собираемой Spyforms.A информацией злоумышленник может выполнять "кражу личности" и, например, выполнять все виды онлайновых действий, выдавая себя за любого из зараженных пользователей. Например, злоумышленник может выполнить финансовое мошенничество таким образом, что в случае расследования власти сфокусируются на пользователе, чьи личные данные использовались, в то время как настоящий преступник останется анонимным".
Интересные материалы: все новости
|