Интернет-мошенники оттачивают свое мастерство

В связи с этим событием аналитики «Доктор Веб» предпочитают делить ноябрь на две равные части: до закрытия McColo Corporation и после него. Вместе с тем эксперты отмечают, что наряду со спамом, в этом месяце довольно активно применялись и другие средства распространения вредоносного кода, в том числе съемные устройства.

До закрытия McColo специалисты «Доктор Веб» обнаружили традиционно большое количество разнообразных спам-рассылок. Среди прочего они отличались друг от друга методами, используемыми для мотивации пользователя, который должен запустить вредоносный файл. Одни трояны по старинке были замаскированы под поздравительные открытки, другие скрывались, благодаря двойному расширению файлов (думая, что запускает текстовый или zip.-файл, пользователь на самом деле активировал .exe-файл) – при этом адресатам предлагалось восстановить якобы заблокированный аккаунт на одном из интернет-сайтов либо согласовать изменения пользовательского соглашения.

Другие мошенники оказались более изобретательными, предпочтя запугать потенциальных жертв. В частности, в тексте письма, содержащего вредоносное приложение, они указывали, что пользователю грозит ответственность за нарушение авторских прав в Сети, доступа к которой он будет в скором времени лишен. Ознакомиться с подробным списком собственных нарушений «пирату» предлагалось путем открытия приложенного к письму вредоносного файла. Также для обмана пользователей распространителями вирусов активно эксплуатировалась актуальная тема президентских выборов в США.

Другие рассылки сообщали адресатам о посылках, которые якобы не могут быть им доставлены из-за ошибок в адресе. Пользователям, не желающим платить по $6 за каждый день хранения посылки, предлагалось распечатать приложенный к письму «счет-фактуру» и забрать ее в офисе.

Среди русскоязычных рассылок с вредоносным кодом аналитики «Доктор Веб» выделили в своем отчете две: с «обновленным отчетом», который прилагался во вложенном фале формата .exe, а не .doc, как могло показаться незадачливым адресатам, и с предложением посетить бесплатный порносайт, все ссылки на котором вели на троян.

Сразу несколько рассылок предлагали своим получателям «научиться легко зарабатывать деньги на аукционе eBay» - в приложенном к таким письмам и замаскированном под html-файл трояне содержался скрипт, открывающий сайт с рекламой учебного курса, нового метода рассылки спама через RSS или бесплатного продвижения сайтов с использованием сервисов Google и Yahoo. Письма авторов другого трояна содержали ссылку на подставной сайт, где пользователям предлагалось загрузить бета-версию браузера Internet Explorer 8. Авторы рассылок на немецком языке второй месяц к ряду пугают адресатов денежными взысканиями, предлагая ознакомиться с подробностями во вложенном вредоносном файле.

После закрытия спам-хостера McColo Corporation было зафиксировано значительное уменьшение количества спама, однако со временем ситуация начала «стабилизироваться». Характерной чертой последних рассылок можно назвать их непродолжительность по времени, которая, впрочем, может не влиять на количество отправленных писем.

Получателями фишинговых рассылок в ноябре текущего года «посчастливилось» стать клиентам JPMorgan Chase Bank, RBC Royal Bank, а также пользователям Google AdWords и PayPal. Не сидели на месте и SMS-мошенники, находящиея в постоянном поиске новых методов доставки сообщений, способных привлечь их получателей.

Особое внимание вирусописателей в прошедшем месяце было приковано AutoIt – свободно распространяемому языку автоматизации задач Microsoft Windows. Благодаря легкости программирования, он заинтересовал разного рода мошенников, которые создавали AutoIt-червей путем запутывания скрипт-кода.