Пользователи Amazon стали мишенью массированной целевой фишинговой кампании. Жертвы получают файл Microsoft, содержащий вредоносный макрос, через который на компьютер загружается вымогатель Locky. Исследователи Comodo Threat Research Labs утверждают, что это одна из самых масштабных атак вымогателей за этот год.

Фатих Орхан (Fatih Orhan), директор по технологиям в Comodo и Comodo Threat Research Labs, заявил, что атака началась 17 мая и продолжалась практически 12 часов. В ходе рассылки было распространено около 30 млн спам-сообщений, маскирующихся под уведомление о доставке товара с Amazon. Орхан рассказал, что эта целевая кампания отличается не только невероятными масштабами, но и техникой, которую использовали злоумышленники для модификации заголовка сообщения. Этот вредоносный метод детектируется только на email-шлюзах с подключенным SPF.

Также волну вредоносного спама заметили в компании Proofpoint, которая оценила количество поддельных уведомлений Amazon в 100 млн email-сообщений. В Proofpoint рассказали, что источником атаки Locky стали email-сервера в США и Европе. В этой кампании были замечены как вредоносные Word-документы, так и JS-вложения, загружающие Locky.

По словам Орхана, ничто в заголовках вредоносных email-сообщений не вызывает подозрений. Исследователи Comodo объяснили, что жертвы спама получают сообщения с адреса [auto-shipping@amazon.com] с заголовком «Your Amazon.com order has dispatched (#code)» («Ваш заказ на Amazon.com отправлен (код)»). В теле сообщения пусто, а к письму прикреплен вредоносный документ Microsoft Word. После открытия документа пользователям предлагается включить макросы. При этом на компьютер загружается и устанавливается Locky, который затем шифрует файлы.

Эта кампания не уникальна — о подобных инцидентах ИБ-компании рапортуют еще с начала года. Исследователи Trustwave в марте отметили резкий скачок количества атак Locky, распространяемого через спам и загружаемого из вложений JavaScript. Атака вымогателя на пользователей Amazon также демонстрирует еще один тренд — атаки через макросы в Microsoft Office.

Согласно экспертам Palo Alto, атаки на макросы становятся более популярными. «Мы считаем, что атаки на макросы испытывают второе рождение с конца 1990-х. Сегодняшние жертвы уже не помнят, как опасны могут быть макросы; жертвам приходится на собственном опыте убеждаться, что их лучше не включать, если только источник не надежен на 100%», — сказал Райан Олсон (Ryan Olson), исследователь в Palo Alto Networks.

В Comodo Threat Research Labs сообщили, что спам-атака на пользователей Amazon осуществлялась через ботнеты, работающие на скомпрометированных виртуальных машинах и пользовательских ПК. Размер выкупа составляет от 0,5 до 1 биткойна (или от $227 до $454).

«Участники группировки, координирующей атаку, неизвестны, но явно демонстрируют высокий уровень технических навыков при подделке email-сообщений, — говорит Орхан. — Получатели даже не подозревают, что письмо пришло не от Amazon». Он также отметил, что злоумышленники нацелились не только на клиентов Amazon и пытались максимально расширить охват кампании.

Amazon не прояснила, поступали ли от пользователей сообщения об инцидентах. По словам экспертов Comodo Threat Research Labs, оценить количество жертв в данный момент невозможно.

Категории: Вредоносные программы, Спам