Спамеры-полиглоты воруют пароли популярной платежной системы

"Лаборатория Касперского", ведущий разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о перехвате нетипичной массовой спам-рассылки. Перехваченные графические спамовые письма необычны тем, что в них, кроме основного английского текста, призывающего срочно покупать акции некой сомнительной компании, содержится фраза на ломаном русском языке - "ОТПИСАТЬ ОТ РАССЫЛКИ МОЖНО ЗДЕСЬ" - и ссылка на Интернет-узел, с которого пользователь перенаправляется на сайт, содержащий вредоносный код.
В случае если письмо получает русскоговорящий пользователь, в действие вступают механизмы социального инжиниринга: получатель письма с очень высокой степенью вероятности постарается отписаться от раздражающей рассылки и пройдет по указанному в сообщении адресу.

В результате на компьютер пользователя загружается троянская программа Trojan-Downloader.JS.Small.dz, которая, в свою
очередь, устанавливает программу-шпион Trojan-Spy.Win32.Goldun.ms, целенаправленно ворующую номера счетов и пароли платежной системы e-gold.

Таким образом, данная спамовая рассылка ориентирована одновременно на две целевые аудитории: англоязычную, потенциально заинтересованную в покупке акций, и русскоязычную, которая при попытке отписаться от назойливой рассылки заражается вредоносной программой-шпионом. Учитывая, что именно русскоязычные пользователи подвергаются наибольшей опасности при получении таких писем, можно предположить, что именно они и являются основной целью спамеров.

Троянская программа Trojan-Spy.Win32.Goldun.ms интересна тем, что предназначена для кражи пользовательских паролей для одной определенной платежной системы.

Вредоносные программы Trojan-Downloader.JS.Small.dz и Trojan-Spy.Win32.Goldun.ms занесены в антивирусные базы "Лаборатории Касперского" и не могут нанести ущерб пользователям антивирусных продуктов компании, регулярно обновляющим сигнатуры угроз.
Кроме того, модуль проактивной защиты, встроенный в Антивирус Касперского и Kaspersky Internet Security 6.0, успешно блокирует активность данных троянцев.

Обнаруженная спам-рассылка является еще одним ярким примером тесного симбиоза спамеров и вирусописателей, которые распространяют вредоносные программы вместе с рекламой сомнительных товаров и услуг. Пользователям рекомендуется быть внимательными и не открывать письма от неизвестных адресатов.

2007-03-02 21:21:28
Компания: "Лаборатория Касперского"
Информационная служба "Лаборатории Касперского"
123060, Москва, 1-й Волоколамский пр., д. 10, стр. 1
тел./факс: +7 (495) 797 87 00