Москва, 25 листопада 2013 р Міжнародна антивірусна компанія ESET публікує деталі розслідування атаки в Skype, в результаті якої постраждало понад півмільйона користувачів у всьому світі.
У травні 2013 року експерти ESET виявили масову спам-кампанію в месенджерах Skype і Gtalk. Зловмисники використовували методи соціальної інженерії, пропонуючи жертвам перейти по посиланнях і подивитися фотографії. Посилання, замасковані за допомогою легального сервісу Google URL Shortener і його аналогів, вели на шкідливе ПЗ. За перші дві доби атаки понад півмільйона користувачів перейшло по посиланнях.
Приклад спам-повідомлення, яке поширював комп'ютер жертви атаки
Аналітики ESET поділилися результатами розслідування цієї атаки в звіті «Хронологія атаки в Skype». Аналіз показав, що 27% переходів по шкідливим посиланнях здійснили користувачі з Мексики, Бразилії і Колумбії. Росія була також в центрі атаки: по посиланнях клікнув більше 40 тисяч чоловік. Найбільше кліків, 80 тисяч, зробили користувачі з Німеччини.
Також було встановлено, що зловмисники використовували модифікацію загрози Win32 / Gapz, виконувані файли якої засновані на відомій шкідливій програмі PowerLoader. Це ПО обходить механізми рішень, що забезпечують інформаційну безпеку, і завантажує на комп'ютер користувача інше шкідливе ПЗ - черв'як Win32 / Rodpicom.C, що розсилають фішингові посилання в сервісах обміну миттєвими повідомленнями.
Після активації на комп'ютері жертви хробак Rodpicom шукає процеси, активні в системі, для подальшого пошуку послуг обміну миттєвими повідомленнями: Skype, Windows Messenger, Quite Internet Pager, GoogleTalk, Digsby. Потім він поширює шкідливий код по контактам користувача через посилання в фішингових повідомленнях.
В ході цієї атаки зловмисники використовували PowerLoader і для завантаження інших шкідливих програм, призначених для крадіжки конфіденційних даних. Вірусної лабораторії ESET було виявлено понад 130 різних шкідливих файлів, використаних зловмисниками, проте переважна більшість представляють собою модифікації Win32 / PowerLoader і Win32 / Rodpicom. Відзначимо, що обидві загрози активні і по сей день.
Компанія ESET продовжує стежити за активністю кіберзлочинців і рекомендує не переходити за посиланнями в незапрошених повідомленнях, що приходять на електронну пошту, а також через соціальні мережі або популярні онлайн-месенджери.
Більш детальну інформацію про розслідування атаки в Skype можна знайти в блозі ESET: habrahabr.ru/company/eset/blog .