Последние пару недель в Интернете циркулируют новые спам-сообщения, ориентированные на пользователей облачного хранилища Dropbox. Эти письма, распространяемые от имени популярного веб-сервиса, снабжены ссылкой и призваны заманить получателя на вредоносную лендинг-страницу.

Некоторые из фальшивок звучат вполне убедительно:

Hello [user]

We noticed that you recently tried to login in to Dropbox with a password that you haven’t changed more than 90 days. Your old password has expired and you’ll need to create a new one to log in. Please visit the page to update your password

Reset Password

Thanks!

  The Dropbox Team

В русскоязычном варианте этот текст звучит следующим образом:

Привет, [имя пользователя]

Мы заметили, что вы недавно пытались войти на Dropbox под паролем, который не менялся более 90 дней. Срок действия вашего пароля истек, для входа вам нужно создать новый. Пожалуйста, пройдите на эту страницу, чтобы обновить пароль.

Изменить пароль

Спасибо!

― Команда Dropbox

Как вариант злоумышленники пытаются вынудить пользователя кликнуть по ссылке, утверждая, что его прежний пароль якобы был помечен как «опасный». Дело в том, что, судя по заявлению на сайте, Dropbox иногда действительно сбрасывает устаревшие пароли в качестве «проактивной меры безопасности». Это делает фальшивку еще более убедительной.

По данным AppRiver, специалиста по email-безопасности, при активации кнопки Reset Password открывается подозрительного вида страница, имитирующая некий сайт Microsoft. Здесь пользователю сообщают, что его браузер устарел, и предлагают загрузить актуальную версию Internet Explorer, Chrome или Firefox. При любом выборе на компьютер жертвы загружается исполняемый файл ieupdate.exe, который содержит один из вариантов банковского троянца ZeuS.

Как определили эксперты, зловред закачивается с сайта dynamooblog.ru, зарегистрированного накануне спам-рассылки. Регистранты опасного ресурса, похоже, не случайно выбрали имя, схожее с адресом британского security-блога blog.dynamoo.com. Владелец блога Конрад Лонгмор (Conrad Longmore) уже обнаружил новую вредоносную кампанию и предупредил о ней первых адресатов ― пользователей Pinterest. По мнению Лонгмора, и Dropbox, и Pinterest атакует вновь объявившаяся криминальная группировка RU:8080, которая в текущем году уже провела несколько спам-рассылок от имени Better Business Bureau, почтовой экспресс-службы UPS и Verizon Wireless.

Еще несколько штрихов к текущей спам-кампании добавили эксперты SecureWorks. По их данным, рассылка вредоносных писем ведется с ботнета Pushdo/Cutwail, который обычно используется для засева ZeuS. Загружаемый зловред был опознан SecureWorks как р2р-модификация этого троянца, известная как Gameover. Исследователи отметили также, что вместо Blackhole, непременного участника схемы распространения ZeuS, злоумышленники используют другой известный эксплойт-пак ― Magnitude, он же Popads. В этот набор входят эксплойты к уязвимостям CVE-2011-3402, CVE-2013-0633, CVE-2010-1423, CVE-2010-0886 и CVE-2010-0840. SecureWorks насчитала 83 домена, ассоциированных с деятельностью Magnitude в рамках текущей спам-кампании.

Информацию об изъятии Blackhole из схемы распространения ZeuS косвенно подтверждают данные Trend Micro, которая за вторую и третью недели октября не обнаружила ни одной серьезной спам-рассылки, привязанной к его площадкам. Вполне возможно, что уход Blackhole в тень напрямую связан с арестом его автора, о котором стало известно в начале октября.

Категории: Вредоносные программы, Спам