ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
|
PandaLabs зафиксировала новые массированные атаки с целью сбора данных для кражи личной информации
Panda Software Russia
|
|
29-08-2006 |
За последние несколько дней зафиксировано крупное количество спамовых сообщений, симулирующих возврат платежей, сделанных по кредитным картам, а также подтверждения о покупке.
✐ место для Вашей рекламы
Если пользователь запускает зараженные файлы, на компьютер скачивается троян, разработанный для того, чтобы красть данные.
Технология TruPreventTM обнаружила и блокировала этих троянов не обладая предварительной информацией о них, тем самым защитив пользователей, установивших эту технологию.
Екатеринбург, 29 августа 2006
PandaLabs (www.viruslab.ru) обнаружила две новых массированных атаки для получения данных с целью кражи информации. Первая атака заключается в отправке почтовых сообщений, симулирующих подтверждение покупки, а в действительности зараженных трояном Downloader.KBR. Сообщение выглядит так:
Тема: Order Confirmation number: WC9921564
Текст сообщения:
Dear Sir/Madam,
Thank you for shopping with our internet shop. Your order, WC9921564, has been received. Summary of your order you can see in the attachment file.
This email is to confirm the receipt of your order. Please do not reply as this email was sent from our automated confirmation system.
Please Note: There is no need to re-send your request or call our customer service department for status or tracking number, this will only delay our response time to you. Rest assured, we are making every effort to process and ship your order within 1 to 2 business days. We appreciate your understanding and patience and do value your business.
Once your order has been processed and shipped a FEDEX Tracking number will be automatically emailed to the address provided.
Please Note: Tracking information will be available in FedEx's system only after 10pm EST Monday thru Friday. If you receive a tracking number on Sunday, you will be able to track it Monday evening after 10pm EST.
All orders placed including 1-2 or 2-3 business day options are shipped within 48 hours providing the merchandise is in stock.
All FedEx Ground orders will take 7-10 business days to arrive.
Some packages may require a signature upon delivery. These packages will not be left without a signature. For your convenience, we will email you a FedEx tracking number on all successfully processed and shipped orders.
All Plasma TVs, DVD players, Scanners, Fax Machines, Receivers, Home Theater, and Printers are not returnable after box is opened.
To insure the best handling of your order please allow 24-48 business hours for the processing and the shipping of your order. Thank you for your cooperation.
We hope you enjoy your order! Thank you for shopping with us!
Вложенный в это сообщений файл, содержащий трояна, называется WC9921564.exe.
Троян Downloader.KCC скрывается в файле paycheck_322082.zip, вложенном в спамовые сообщения, массированно рассылаемые за последние несколько дней. Эти сообщения выдают себя за сообщения об отзыве платежей, сделанных с кредитной карты пользователя. Сообщение, полученное жертвами, обладает следующей темой: [paycheck 322082] Credit Card Chargeback, а текст сообщения:
Sir,
We have received a notice from your card service stating that there was a chargeback made by the owner of the card that you paid for
your account with. This is a very serious matter.
I have deducted the amount of the chargeback, GBP 102.10, from your account and added our standard fee of GBP 23.95 as well. (You can
see your payment details in attachment.)
If there was some mistake, please let us know immediately so that we
can get this situation resolved. We ask that you have the chargeback
removed as soon as possible, as our account has already been debited for the amount in question.
If you would prefer to make your payment using a new payment
method that would be fine as well (you can use a different credit card or you may send a money order payable to Cihost).
This is a time sensitive issue and must be resolved promptly at the
request of the card service. Please email the billing team using the Web Administration Panel with information about how you are going
to deal with this situation.
I thank you for your time and hope to hear from you
soon.
See your payment details in attachment.
Sincerely,
Frank J. Cornwell
Cihost Billing Management
Однако следует учитывать то, что в обоих случаях сообщение может отличаться, и даже быть переведено на другие языки, поскольку зараженные сообщения рассылаются вручную.
“Это становится довольно эффективной формой социальной инженерии. Вместо использования других приманок, создатель таких сообщений пытается напугать пользователей, сообщая о покупках, которых они не делали, или проблемах с платежами с их кредитной карты. Встревоженные возможностью проблем с их финансами, пользователь читает письмо и открывает вложенные файлы, не думая о последствиях” объясняет Луис Корронс, директор PandaLabs.
Если пользователь запускает файл, вложенный в любое из двух приведенных выше сообщений, троян устанавливается на компьютер. Downloader.KCC и Downloader.KBR выполняют схожие действия и скачивают в систему трояна Spyforms.A, который разработан специально для того, чтобы красть с зараженных компьютеров данные, такие как IP-адрес и пароль для доступа в Интернет. По словам Луиса Корронса: “С собираемой Spyforms.A информацией злоумышленник может выполнять ‘кражу личности’ и, например, выполнять все виды онлайновых действий, выдавая себя за любого из зараженных пользователей. Например, злоумышленник может выполнить финансовое мошенничество таким образом, что в случае расследования власти сфокусируются на пользователе, чьи личные данные использовались, в то время как настоящий преступник останется анонимным".
Технология TruPreventTM обнаружила и блокировала этих троянов без предварительной информацией о них, тем самым защитив пользователей, установивших эту технологию. Клиенты Panda Software, которые еще не обладают технологией TruPreventTM, могут скачать обновление для своих антивирусов, позволяющее установить ее и обеспечить наличие у них превентивной защиты от неизвестных вирусов и вторжений. Более подробные сведения о технологии TruPreventTM Вы найдете по адресу: http://www.viruslab.ru/products/tp/detail/truprevent.php
Чтобы помочь как можно большему количеству пользователей проверить и вылечить свои системы, Panda Software Russia предлагает воспользоваться бесплатным антивирусом Panda ActiveScan, который теперь способен обнаруживать шпионское ПО, по адресу http://www.viruslab.ru/service/check/. Веб-мастеры, желающие разместить ActiveScan на своих сайтах могут бесплатно получить HTML-код по адресу: http://www.viruslab.ru/partners/portal/.
О PandaLabs
С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную техническую поддержку. В достижении этого, им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, на настоящий момент PandaLabs является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли
(более подробная информация по адресу: www.viruslab.ru ).
Опубликовано: 29 августа 2006 г.
Ключевые слова: нет
Извините, комментариев пока нет
|