Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Phishing atakujący OWA - nowy wektor (2)

Siergiej Golowanow
Kaspersky Lab Expert
Dodany 16 października 2009, 12:48 CEST

Poniżej przedstawiam dane techniczne uzupełniające ostatni post Darji.

1. Spam

Według naszego wstępnego badania, wiadomości spamowe, których celem są użytkownicy OWA, zostały wysłane za pomocą botnetu pushdo - który opiera się na szkodliwym oprogramowaniu z rodziny Backdoor.Win32.NewRes. Trojany te rozprzestrzeniają się za pośrednictwem spamu, portali społecznościowych (w połączeniu z rodziną Koobface) oraz poprzez zhakowane strony internetowe.

Wiadomości spamowe zawierają odsyłacz do phishingowej strony internetowej, która jest zarejestrowana z 15 dynamicznymi adresami IP zlokalizowanymi w oddzielnych sektorach IP i nieustannie zmieniającymi się.

2. Phishing

Analiza strony phishingowej wykazała, że cyberprzestępcy wykorzystują techniki zwane "rock phishing" wraz z dynamiczną zawartością, która zmienia się, tak aby atakować użytkowników z atakowanej domeny.

3. Trojan

Atak phishingowy na OWA rozprzestrzenia wariant trojana o nazwie Trojan-Spy.Win32.Zbot – szkodnika, który kradnie hasła przechowywane na zainfekowanych maszynach; w szczególności hasła do lokalnych aplikacji, hasła do stron internetowych itd. Trojan posiada również funkcjonalność rejestrowania uderzeń klawiszy. Ponadto, Zbot potrafi pobierać inne szkodliwe programy. W tym przypadku, centrum kontroli jest zlokalizowane na Ukrainie.

Podsumowanie

Atak ten wykorzystuje dobrze znane metody. Warto zwrócić uwagę na takie cechy ataku jak fałszowanie nazwy domeny i tworzenie strony phishingowej, która imituje strony OWA. Reszta nie jest niczym nowym.