Заражённый HTML-спам от ботнета Cutwall

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 17 фев 2012.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Специалисты M86 Security Labs выяснили, кто стоит за ростом спама с вредоносными HTML-аттачментами, который отмечался в первые дни 2012 года. Виновным оказался ботнет Cutwall.

    [​IMG]

    Раньше HTML-письма использовались в основном только для фишинга, но с января этого года начались периодические атаки с рассылкой HTML-документов, содержащих вредоносный скрипт. На стороне почтового клиента это выглядит так.

    [​IMG]

    На этой иллюстрации показано, как письмо открывается в почтовом клиенте Mozilla Thunderbird. Настройки по умолчанию данной программы не позволяют запуск JavaScript, и для исполнения вредоносного кода пользователь должен вручную открыть HTML-файл, щёлкнув по нему.

    Ещё одно изображение внизу — пример более свежей спам-кампании. В письме сообщается, что оно содержит инвойс от некоей компании. В данном случае пользователя призывают открыть аттачмент в браузере. Приложенный файл выглядит безобидно и демонстрирует значок дефолтного браузера.

    [​IMG]

    Данный элемент создаёт фрейм, который должен открываться в том же окне браузера. Фрейм направляет пользователя на сайт с набором эксплоитов Phoenix Exploit Kit, который пытается установить на компьютере банковский троян Cridex.

    Скриншот из модуля управления Phoenix содержит реферреры с указанием, с какого сайта пришёл пользователь. Пустое поле и означает редирект из почтового клиента. Как видим, эффективность заражения таких пользователей не так уж и высока, всего 15,56%.

    [​IMG]



    источник
     
    2 пользователям это понравилось.

Поделиться этой страницей