В конце января глава антиспам-тестировщиков Virus Bulletin Мартейн Гротен (Martijn Grooten) обнаружил на Twitter спам-рассылку, призванную повысить посещаемость страниц, показывающих поддельное сообщение полиции с целью вымогательства. По свидетельству эксперта, данный случай не грозит заражением, это довольно бесхитростная атака через браузер с элементами социальной инженерии.

Снабженные ссылками разноязычные фальшивые твиты («Какой креатив!», «Рада поделиться», «Классный сайт!» и т.п.) распространяются с легитимных аккаунтов, по всей видимости, скомпрометированных. Гротен полагает, что злоумышленники просто приобрели списки взломанных профилей на черном рынке. Все указанные спамерами линки привязаны к домену appspot.com, используемому Google App Engine. Данный веб-сервис позволяет клиентам бесплатно регистрировать поддомены. С поддомена appspot.com посетитель перенаправляется на другие редиректоры, использующие бесплатные DNS-сервисы и привязанные к одному и тому же турецкому серверу, а оттуда — на лендинг-страницу.

Во избежание попадания этой страницы в черные списки вымогатели, по свидетельству Гротена, зарегистрировали в ряде доменов поддомен alert-police. Как обнаружил эксперт, во всех случаях регистратором являлась британская служба 123-Reg.

Отображаемое в браузере поддельное сообщение обвиняет пользователя в просмотре запрещенного контента и предлагает уплатить небольшой штраф во избежание судебного преследования. Гротен отмечает, что мошенники при этом используют геопривязку: данное сообщение воспроизводится на понятном посетителю языке и с логотипом соответствующего правоохранительного органа. Эксперт насчитал около 30 логотипов в коллекции авторов атаки и отметил их сходство с графикой, используемой блокером Reveton. Однако в данном случае вымогателем является не вредоносная программа, а веб-сайт, удерживающий пользователя на определенной странице. Сотня фреймов, подгружаемых в браузер, создает впечатление, что уйти с этого сайта нельзя.

Напомним, аналогичная схема вымогательства была зафиксирована минувшим летом, и ФБР даже выпустило предупреждение, пояснив, что избавиться от навязчивых фреймов можно перезапуском браузера и очисткой его истории. Есть и другой путь — упорно давить в диалоговом окне кнопку «Leave the page» («Уйти с этой страницы»), пока загрузки iframe не иссякнут.

Что касается текущей Twitter-атаки, Virus Bulletin уже передал информацию о мошеннических доменах регистратору 123-Reg, и тот уже удалил соответствующие записи из DNS. Эксперты также сообщили об абьюзе хостинг-провайдеру, у которого вымогатели разместили свою лендинг-страницу.

Категории: Мошенничество, Спам