Социальные сети - исследование вирусных и фишинговых угроз

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 22 ноя 2011.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.596
    Во всем мире социальными сетями пользуются миллионы человек. Наверное, даже Google не знает, сколько времени проводят «В контакте» и на «Одноклассниках» наши соотечественники

    В индексах поисковых систем без труда можно отыскать информацию о фактах заражения пользователей социальных сетей вредоносным программным обеспечением. Действительно ли существуют вирусы и троянцы, распространяющиеся через подобные сайты? Каковы особенности данного типа угроз? Об этом нам и хотелось бы поговорить в рамках настоящей статьи.

    Значительная часть вредоносных программ, так или иначе связанных с сетевыми комьюнити, использует в процессе своего распространения методы социальной инженерии. В большинстве случаев речь идет о банальном фишинге, рассчитанном на человеческую невнимательность. Пользователи наиболее популярных интернет-пейджеров, таких как ICQ и QIP, практически ежедневно сталкиваются с автоматически рассылаемыми сообщениями, авторами которых являются якобы жаждущие новых знакомств девушки. В таких сообщениях, а иногда - в профиле контакта обычно присутствует ссылка, внешне похожая на URL личной странички пользователя какой-либо социальной сети. Однако стоит присмотреться, и становится очевидно, что ссылка отличается от «оригинала» одним или несколькими символами.

    [​IMG]

    Вероятно, читатель уже догадался, что нажатие на такую ссылку неизбежно приведет пользователя на поддельный сайт, внешне копирующий оформление одной из популярных социальных сетей, но фактически таковой не являющийся. Достаточно ввести в соответствующие поля формы авторизации свой логин и пароль, чтобы ими завладели злоумышленники. После этого от имени скомпрометированной учетной записи в социальной сети могут распространяться как безобидные рекламные сообщения, так и вредоносные программы. Шансы на то, что пользователь запустит присланное ему инфицированное приложение достаточно высоки: ведь с психологической точки зрения степень доверия к информации, полученной от одного из известных пользователю контактов, значительно выше, чем к сообщению, пришедшему от постороннего человека.

    [​IMG]

    Обезопасить себя от подобных «случайных знакомств» достаточно просто: нужно всего лишь внимательно следить за ссылками, которые вы открываете в браузере, а также настроить в программе-мессенджере блокирующий сообщения роботов фильтр. Однако большинство пользователей почему-то пренебрегает этими возможностями.

    Механизмы распространения самих вредоносных программ могут различаться. Помимо прямых рассылок через скомпрометированные учетные записи сообщений, содержащих внешние ссылки на опасный контент, практикуется и внедрение вредоносных объектов в различные встроенные приложения. Так, с помощью браузерной игры «Подводный мир 2» (приложение app711384, в настоящий момент удалено) на компьютеры пользователей социальной сети «В Контакте» проникал троянец с говорящим названием Trojan.VKhost (также известный под именем Trojan.Hosts.107). Обосновавшись в операционной системе, троянец помещал в файле Windows\system32\drivers\etc\hosts строчки, подменяющие адреса сайтов vkontakte.ru и odnoklassniki.ru на IP-адреса принадлежащих злоумышленникам веб-страниц. На этих страницах, имитирующих интерфейс упомянутых выше социальных сетей, обычно демонстрировалось сообщение о том, что учетная запись пользователя якобы заблокирована за рассылку спама, и для ее разблокировки необходимо отправить платное SMS-сообщение на указанный номер. Таким образом, основной целью вирусописателей являлась банальная жажда наживы. Ссылка на содержащую троянца игру, как правило, массово рассылалась при помощи системы личных сообщений как со специально созданных для этой цели, так и со скомпрометированных ранее аккаунтов социальной сети.

    [​IMG]

    Еще одним примером троянца, активно распространявшегося с использованием массовых рассылок со взломанных аккаунтов «ВКонтакте», является Trojan.MulDrop.26145, правда, в этом случае чаще всего задействовались не личные сообщения, а записи на «стене». Особенность этой угрозы состоит в том, что данные сообщения не просто отправлялись пользователями из списка друзей, но также включали личное обращение к получателю. В тексте послания обычно содержалась ссылка с предложением посетить порно-ресурс, для просмотра содержимого которого пользователю предлагалось установить специальный кодек. Под видом этого кодека на компьютер и загружалась вредоносная программа, стартовавшая вместе с браузером и подменявшая первые пять результатов поиска в наиболее популярных поисковых системах ссылками на порносайты.

    Аналогичные рассылки также были неоднократно замечены на сайте odnoklassniki.ru - например, в некоторых письмах девушка, якобы являющаяся автором сообщения, просила проголосовать за нее на конкурсе красоты «Мисс Рунет». По нажатию на кнопку «Отдать голос» пользователь получал на свой компьютер целый букет вредоносных программ, включая бэкдор BackDoor.Mbot и несколько модификаций Trojan.DnsChange. Вообще, угрозы, характерные для социальной сети «Одноклассники», в целом не уникальны - это сетевое комьюнити подвергается в точности тем же сетевым атакам, что и конкурирующая социальная сеть, «ВКонтакте».

    Случается и так, что программа-вредитель сама ворует логин и пароль для входа в социальную сеть, не заставляя пользователя вводить их вручную. Примерно так действовал наделавший много шума червь Win32.HLLW.AntiDurov, эпидемия которого разразилась в российском сегменте Интернета несколько лет назад. Пользователи социальной сети «ВКонтакте» получали от друзей ссылку на забавную картинку deti.jpg, при открытии которой на компьютер загружался вредоносный файл deti.scr. Вслед за этим червь прописывался под именем Vkontaktesvc.exe в папку Application Data текущего пользователя, и запускался в качестве фоновой службы с именем «Durov VKontakte Service». Затем червь анализировал хранящиеся на зараженном компьютере файлы cookies в поисках учетных данных для входа в социальную сеть «ВКонтакте», и если таковые обнаруживались, по списку «друзей» жертвы рассылалось сообщение со ссылкой на тот же рисунок, загружающий вредоносный файл. Деструктивная функция червя заключалась в том, что 25 числа каждого месяца в 10 часов утра он выводил на экран компьютера сообщение: «Работая с ВКонтакте.РУ Вы ни разу не повышали свой рейтинг и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен!» и начинал удалять файлы с жесткого диска. Этот пример показывает, насколько опасными могут быть вредоносные программы, распространяющиеся через социальные сети.

    [​IMG]

    Очевидно, что большая часть распространяемых через отечественные сетевые комьюнити угроз использует в своих неблаговидных целях наиболее популярные в России социальные сети, к которым относятся порталы «В контакте» и «Одноклассники». «Facebook» в этом отношении заметно отстает, поскольку сообщения об инфицировании вредоносным ПО в этой сети поступают, в основном, от зарубежных пользователей, однако методы распространения угроз в данной сети схожие. Так, в ходе одной из последних и наиболее массовых эпидемий на персональной «стене» пользователей «Facebook» появлялось сообщение с предложением активировать кнопку «Dislike» («Мне не нравится») в противовес уже имеющейся в интерфейсе социальной сети кнопке «Like» («Мне нравится»). После открытия предложенной злоумышленниками ссылки пользователь перенаправлялся на сайт, предлагающий для активации кнопки скопировать в адресную строку браузера фрагмент кода, написанного на JavaScript. Как только пользователь проделывает эту нехитрую процедуру, на «стенах» всех, кто зарегистрирован в списке его друзей, появится аналогичное сообщение.

    Сервис Twitter также успел прославиться на поприще распространения вирусов, однако поскольку данный ресурс накладывает жесткие ограничения на количество символов в сообщениях, здесь вредоносное ПО распространяется, в основном, через внешние ссылки. Так, некоторое время назад в микроблогах пользователей Twitter стали появляться сообщения, содержащие ссылку на сервис, с помощью которого якобы можно отследить всех, кто посещает страничку в Twitter, не оставляя на ней комментариев. В конечном итоге в руки злоумышленников попадали учетные данные пользователя, и с его аккаунта начиналась рассылка спама.

    Подводя итоги, можно сказать, что в целом механизм распространения угроз в социальных сетях так или иначе опирается на фишинговые схемы и принципы социальной инженерии. Используя различные психологические приемы, начиная от простой невнимательности пользователя, и заканчивая игрой на его любопытстве или сексуальных пристрастиях, злоумышленники пытаются получить доступ к персональным учетным данным с целью распространения ссылок на вредоносное ПО и инфицированные сайты. Дальнейший рост заражений зачастую обусловлен тем, что люди привыкли относиться с доверием к поступающей от знакомых информации, и нажимают на подобные ссылки не задумываясь. Нередко троянцы и сетевые черви похищают учетные данные пользователей из хранящихся на их ПК файлов cookies, и с помощью этой информации получают доступ к списку их друзей в популярных сетевых сообществах.

    Чтобы избежать неприятностей, необходимо придерживаться всего лишь нескольких несложных правил:

    - Внимательно следите за ссылками, которые вы открываете в браузере. Некоторые URL могут отличаться от адреса оригинального сайта всего лишь на один символ, но неизбежно приведет к тому, что ваши учетные данные попадут в руки злоумышленников.
    -Не открывайте подозрительные ссылки, даже полученные в сообщениях от знакомых вам людей.
    -Не устанавливайте и не запускайте игры и приложения, рекламируемые в спам-рассылках.
    -И, наконец, используйте на своем компьютере антивирусное программное обеспечение, не забывая при этом вовремя обновлять вирусные базы.

    Источник
     

Поделиться этой страницей