Мы зафиксировали фишинговую атаку, использующую популярность Outlook Web Access (OWA) — сервиса, позволяющего с помощью веб-обозревателя обратиться к почтовому ящику Microsoft Exchange Server с любого компьютера, имеющего подключение к интернету. Пользователь получал письмо, в котором говорилось, что из-за обновления системы безопасности настройки почты следует изменить.

Такое содержание характерно для фишинговых писем, однако, письмо выглядело более доверительно, так как злоумышленники подставляли в ссылку доменное имя сайта, на почтовые ящики которого рассылались письма. На самом деле, пройдя по ссылке, пользователь попадал на фишерский домен, по виду похожий на Outlook Web Access.

Там ему предлагалось скачать exe-файл якобы для обновления почтовых настроек. Однако файл содержал троянскую программу семейства Trojan-Spy.Win32.Zbot. Что интересно, все фишерские домены пренадлежали зонам eu и co.uk — довольно редкий случай, так как обычно подобные сайты находятся в доменных зонах стран третьего мира. OWA — популярный сервис, используемый многими компаниями, поэтому улов фишеров потенциально велик. Поэтому мы настоятельно рекомендуем быть внимательнее и никогда не ходить по ссылкам из писем, а тем более не запускать exe-файлы.

В дополнение к предыдущему хотелось бы остановиться на технических аспектах данной атаки.

1. Спам

Данные спам-сообщения по предварительным данным были разосланы с ботнета pushdo, построенного с помощью вредоносных программ из семейства Backdoor.Win32.NewRes. Данные вредоносные программы распространяются через спам, социальные сети (с помощью вредоносных программ Net-Worm.Win32.Koobface), через взломанные сайты.

2. Фишинговый сайт

Фишинговый сайт, указанный в спам-сообщении, зарегистрирован на 15 постоянно меняющихся IP-адресах, расположенных в разных Автономных системах интернета.

Анализ организации расположения фишингового сайта и его динамически меняющегося содержимого под имя домена в адресе получателя спам рассылки предполагает, что данная фишинг-атака произведена с помочью технологии «Rock Phish».

3. Троянец

Распространяемая таким образом троянская программа классифицируется «Лабораторией Касперского» как Trojan-Spy.Win32.Zbot. Данная вредоносная программа предназначена для кражи сохраненных на компьютере пользователей паролей от локальных программ, паролей для доступа к вебсайтам, перехвата данных, водимых пользователем с клавиатуры, и т.д. Также троянец обладает возможностью устанавливать на зараженных компьютерах пользователей другие вредоносные программы. В данном случае троянец координировал свою роботу с командным центром, установленном на Украине.

Итог: