Фишинговые письма с имитацией антивируса
По сообщению «Лаборатории Касперского», обнаружена массовая рассылка фишинговых писем якобы от имени ведущих антивирусных компаний, содержащих вложенный файл с вредоносной программой, предназначенной для кражи конфиденциальных данных пользователя. Как сообщают эксперты «Лаборатории Касперского», обнаружившие рассылку, текст и общее оформление этих фишинговых писем выполнены по одному шаблону, различаются только имена отправителей и упомянутые антивирусные решения.
Злоумышленники сообщают получателю письма о необходимости установить важное обновление для антивируса, якобы защищающее от нового зловреда, набирающего популярность в Интернете. Для этого пользователю предлагается открыть приложенный ZIP-архив и запустить исполняемый файл. Программа, находящаяся в архиве, детектируется «Лабораторией Касперского» как Trojan-Spy.Win32.Zbot.qsjm и является троянцем из известного вредоносного семейства Zeus/Zbot. Она создана для кражи пользовательских данных и способна модифицировать содержимое страниц банковских сайтов с целью получить аутентификационную информацию (логины, пароли, коды безопасности) для последующего хищения денег. Троянец также может снимать скриншоты (и даже видео) с экрана, перехватывать ввод с клавиатуры и выполнять другие вредоносные команды.
Как отмечают эксперты, ни одна антивирусная компания не будет рассылать патч или обновление антивирусных баз в архивированном файле по электронной почте. Кроме того, в обнаруженных фишинговых рассылках имя вложенного файла содержало слишком много цифр, сгенерированных случайным образом, что должно бы заставить получателя заподозрить неладное.