Компания Eset, занимающаяся разработкой антивирусного программного обеспечения, опубликовала результаты своего расследования по поводу атаки в Skype, в результате которой пострадало свыше полумиллиона пользователей всего мира. Об этом сообщают эксперты раздела "Hi-tech" издания для инвесторов "Биржевой лидер".
В мае текущего года экспертами была обнаружена массовая спам-кампания в мессенджерах Gtalk и Skype. Злоумышленниками были использованы методы социальной инженерии, в которых жертвам предлагалось перейти по ссылке и посмотреть фотографии. Замаскированные с помощью легального сервиса Google URL Shortener ссылки, вели на вредоносные программы. Всего за первые несколько суток атаки более полумиллиона пользователей перешли по ссылкам.
Аналитики рассказали о результатах расследования данной атаки в отчете под названием «Хронология атаки в Skype». Как показал анализ, 27% переходов по вредоносным ссылкам исходило от пользователей, живущих в Мексике, Колумбии и Бразилии. Россия также была в центре атаки: по ссылкам перешло свыше 40 тысяч человек. Самое большое количество кликов – 80 тысяч – было сделано в Германии.
Вредоносное ПО было основано на PowerLoader
Кроме того, было установлено, что злоумышленники прибегли к модификации угрозы Win32/Gapz. Ее исполняемые файлы основаны на достаточно известной вредоносной программе PowerLoader. Эта программа обходит механизмы решений, которые обеспечивают информационную безопасность, и загружает на ПК пользователя другую вредоносную программу – червь Win32/Rodpicom.C, рассылающий в сервисах обмена мгновенными сообщениями фишинговые ссылки.
После того, как ПО активируется на компьютере жертвы, червь Rodpicom начинает искать активные в системе процессы, чтобы обнаружить сервисы обмена мгновенными сообщениями: Windows Messenger, Skype, GoogleTalk, Quite Internet Pager и Digsby. После этого он распространяет по контактам пользователя вредоносный код, используя ссылки в фишинговых сообщениях.
Вирусная лаборатория Eset обнаружила свыше 130 различных вредоносных файлов, которые использовались злоумышленниками, но подавляющее количество представляют собой модификации Win32/Rodpicom и Win32/PowerLoader. Стоит отметить, что обе угрозы активны до сих пор.
Напомним, в Skype распространяется новый «банковский» вирус.
