Поддельное обновление Adobe Flash

--> Дата: Мар 30, 2013 99

Корпорация Symantec сообщила об обнаружении новой вредоносной кампании, использующей для обмана пользователей поддельные сайты обновления Adobe Flash. Компьютеры заражаются вредоносной программой-вымогателем и программой-автокликом, которая ходит по рекламным ссылкам от имени пользователя.

Широкое распространение Adobe Flash и частая необходимость обновления продукта сделали его объектом повышенного внимания киберпреступников. Применяя методы социальной инженерии, они заманивают пользователей на поддельные страницы обновления Adobe Flash, с которых вместо очередного обновления на компьютер устанавливается вредоносная программа.

К примеру, на одном из сайтов, выдающих себя за страницу обновления Adobe Flash Player, злоумышленнику удалось создать правдоподобную копию официального сайта, однако был допущен и ряд недочетов: большая часть ссылок ведет назад на атакующий домен, и абсолютно все ссылки на странице – кроме ссылки на само вредоносное содержимое – к корневому каталогу сайта, что приводит к ошибке 404 (страница не найдена).

Основная цель злоумышленника – добиться установки вредоносной программы, и для увеличения шансов он предлагает пользователю на выбор два варианта. Первый – всплывающее окно, предлагающее пользователю скачать файл под названием flash_player_updater.exe; второй – кнопка Download Now, после нажатия на которую начинает скачиваться файл update_flash_player.exe. Продукты Symantec идентифицируют оба файла как Downloader.Ponik.

В ходе исследования выяснилось, что помимо кражи паролей эти вредоносные программы выискивают в системе учетные записи удаленного доступа по FTP/telnet/SSH, а также отслеживают учетные записи почты по протоколам SMTP, IMAP и POP3. Несмотря на то, что обе эти программы принадлежат к одному типу, ведут они себя по-разному: в первом случае устанавливается программа-вымогатель (ransomware), а во втором – робот, кликающий по рекламным ссылкам (и то и другое – незаконные способы получения прибыли).

В варианте 1 файл flash_player_updater.exe в результате обращения через порт 8080 получает команду на скачивание трех файлов. Все три файла идентичны, используя несколько источников, злоумышленник лишь повышает их доступность. В Symantec определяют эти файлы как Trojan.Ransomlock.Q. Как только запускается один из этих файлов, на зараженном компьютере появляется обновленная версия программы-вымогателя Trojan.Ransomlock.Q, которая подключается к своему серверу управления, загружает зашифрованный файл и затем блокирует компьютер.

Интересно, что троянская программа также определяет производителя установленного антивируса и подставляет его логотип вместо стандартного логотипа Windows. В данном случае исследователи Symantec отключили антивирус Norton 360, так как он уже обеспечивает защиту от этой угрозы, и получили предложение об оплате. В качестве эксперимента специалисты ввели произвольный 14-значный код (MoneyPak использует 14-значный формат ввода) и получили сообщение с текстом «Ваш код обрабатывается. Повторный ввод не ускорит процесса. Обработка может занять до 12 часов, не выключайте компьютер». Введенная информация шифруется и отправляется на сервер управления злоумышленников.

В варианте 2 файл update_flash_player.exe также через порт 8080 получает команду на скачивание трех файлов, которые устанавливаются на зараженный компьютер и работают в фоновом режиме, скрытно от пользователя нарабатывая клики по рекламе. Антивирусные продукты Symantec идентифицируют угрозу как Trojan Horse.

Чтобы не стать жертвой подобных атак, эксперты Symantec рекомендуют использовать актуальные версии антивирусного и другого ПО для обеспечения безопасности, не скачивать обновления со сторонних сайтов и обращать внимание на URL-адрес перед тем, как начать загрузку файла.