Pull to refresh

Красивый пример фишинга во «В Контакте»

Reading time 2 min
Views 63K
Не так давно в «Часкоре» была опубликована статья «Воспоминания экс-спамера». В ней один из интернет-предпринимателей, зарабатывавших на спаме во «В Контакте», объявил о том, что у такого бизнеса очень скоро почти не останется воздуха.

В какой-то мере с ним можно согласиться — сейчас спама действительно ощутимо меньше, чем было даже в прошлом году. Но оставшиеся спамеры прибегают ко всё более изощрённым методам. Сейчас я хочу рассказать об одном из таких методов, встретившихся мне сегодня.

Начинается всё довольно невинно, кто-то из друзей пишет вам банальное «привет. как дела?». Вы не менее банально отвечаете, что у вас всё отлично, и интересуетесь делами собеседника, он уточняет: «ты за компом сейчас?», спрашивает: «хочешь посмеяться?» и кидает ссылку вроде
http://tinyurl.com/home-video-10737644-html




На этом этапе впечатляет уже то, что бот с, очевидно, взломанной учётной записи пишет три вполне уместные реплики, прежде чем кинуть ссылку. Ссылка перенаправляет на страницу
http://46.98.28.65/home-video/10737644
с интерфейсом YouTube. Внимательный пользователь, разумеется, заметит несоответствие URL сайту, но расчёт, очевидно, делается на тех, кто на такое внимание не обращает.

Страница, на которую даётся ссылка, персонализирована. Цифры 10737644 в ссылке — это мой id. В название и описание якобы-видеоролика вставлено моё имя:



Видеоролик же нельзя посмотреть, потому что у меня, оказывается, устаревший Flash Player. Предлагается загрузить его «с сайта Adobe» по ссылке
http://46.98.28.65/Flash-Player.exe

Не менее чудесными являются «комментарии». В качестве авторов комментариев указаны мои реальные френды из «В Контакте» со своими аватарами:



Особо примечателен второй комментарий, который должен окончательно убедить меня, что этот «Flash Player» всё-таки нужно скачать.

Я обратился к Onthar — автору предыдущих топиков о вредоносном спаме во «В Контакте», вот его комментарий:

Этот файл — троян-загрузчик. То есть он загружает и запускает вредоносные файлы из сети. Дело в том, что там какая-то партнерка или еще что-то. Файлов грузится необычно много (2-3 только за 5 минут анализа), и они все продолжают активность в системе. Пока могу точно сказать одно — это ботнет из загрузчиков, обращаются все файлы на разные домены (n-78.ru, vn-66.ru ...), но на один ip — 91.223.89.99.

Не секрет, что загружать в систему жертвы эти файлы способны самое разнообразное вредоносное ПО, вплоть до знаменитого TDSS-буткита.
Tags:
Hubs:
+259
Comments 197
Comments Comments 197

Articles