- Регистрация
- 26.12.2012
- Сообщения
- 2 780
- Репутация
Cоциальные сети и вирусы: ловля на живца
Во всем мире социальными сетями пользуются миллионы людей. Наверное, даже Google не знает, сколько времени проводят в «Одноклассниках» и «ВКонтакте» наши соотечественники, однако в индексах поисковых систем без труда можно отыскать информацию о фактах заражения пользователей социальных сетей вредоносным программным обеспечением.Социальная инженерия во главе угла
Значительная часть вредоносных программ, так или иначе связанных с сетевыми сообществами, использует в процессе своего распространения методы социальной инженерии. В большинстве случаев речь идет об обычной человеческой невнимательности, когда мошенники подсовывают фиктивные страницы, копирующие оформление банков, популярных сайтов, почтовых систем и др. Пользователи популярных Интернет-пейджеров практически ежедневно сталкиваются с автоматически рассылаемыми сообщениями от якобы жаждущих новых знакомств девушек. В таких сообщениях, а иногда в профиле контакта обычно присутствует ссылка, похожая на адрес личной странички пользователя какой-либо социальной сети. Однако, если присмотреться, становится очевидно, что ссылка отличается от «оригинала» одним или несколькими символами.
Вероятно, читатель уже догадался, куда приведет нажатие на такую ссылку… Достаточно ввести в соответствующие поля формы авторизации свой логин и пароль, чтобы ими завладели злоумышленники. После этого от имени скомпрометированной учетной записи в социальной сети могут распространяться как безобидные рекламные сообщения, так и вредоносные программы.
Шансы на то, что пользователь запустит присланное ему инфицированное приложение, довольно высоки: ведь с психологической точки зрения степень доверия к информации, полученной от одного из известных ему контактов, значительно выше, чем к сообщению, пришедшему от постороннего.
Механизмы распространения могут различаться. Помимо прямых рассылок через скомпрометированные учетные записи сообщений, содержащих внешние ссылки на опасный контент, практикуется и внедрение вредоносных объектов в приложения. Так, с помощью браузерной игры «Подводный мир 2» (приложение app711384, в настоящий момент удалено) на компьютеры пользователей социальной сети «ВКонтакте» проникал «троянец» с говорящим названием Trojan.VKhost (также известный под именем Trojan.Hosts.107). Обосновавшись в ОС, он помещал в файле Windows\system32\drivers\etc\hosts строчки, подменяющие адреса сайтов vkontakte.ru и odnoklassniki.ru на IP-адреса принадлежащих злоумышленникам Web-страниц. На этих страницах, имитирующих интерфейс упомя нутых выше социальных сетей, обычно демонстрировалось сообщение о том, что учетная запись пользователя якобы заблокирована за рассылку спама и для ее разблокировки необходимо отправить платное SMS-сообщение на указанный номер. Таким образом, основная цель вирусописателей — жажда наживы.
Ссылка на содержащую «троянца» игру, как правило, массово рассылалась при помощи системы личных сообщений как со специально созданных для этой цели, так и со скомпрометированных ранее учетных записей социальной сети.
Еще один пример «троянца», активно распространявшегося с использованием массовых рассылок со взломанных учетных записей «ВКонтакте», — Trojan.MulDrop.26145; правда, в этом случае чаще всего задействовались не личные сообщения, а записи на «стене». Особенность этой угрозы в том, что данные сообщения не просто отправлялись пользователями из списка друзей, но и включали личное обращение к получателю. В тексте послания обычно содержалась ссылка с предложением посетить порноресурс, для просмотра содержимого которого предлагалось установить специальный кодек. Под видом этого кодека на компьютер и загружалась вредоносная программа, стартовавшая вместе с браузером и подменявшая первые пять результатов поиска в наиболее популярных поисковых системах ссылками на порносайты.
Аналогичные рассылки были также замечены на сайте odnoklassniki.ru — например, в некоторых письмах девушка, якобы автор сообщения, просила проголосовать за нее на конкурсе красоты «Мисс Рунет». По нажатию на кнопку «Отдать голос» пользователь получал на свой компьютер целый букет вредоносных программ, включая троянские утилиты Back Door.Mbot и несколько модификаций Trojan.DnsChange. Вообще, угрозы, характерные для социальной сети «Одноклассники», в целом не уникальны — эта сеть подвергается в точности тем же сетевым атакам, что и конкурирующий ресурс — «ВКонтакте».
Случается и так, что программа-вредитель сама ворует логин и пароль для входа в социальную сеть, не заставляя пользователя вводить их вручную. Примерно так действовал наделавший много шума червь Win32.HLLW.AntiDurov, эпидемия которого разразилась в российском сегменте Интернета три года назад. Пользователи социальной сети «ВКонтакте» получали от друзей ссылку на забавную картинку deti.jpg, при открытии которой на компьютер загружался вредоносный файл deti.scr. Вслед за этим червь прописывался под именем Vkontaktesvc.exe в папку Application Data текущего пользовате ля и запускался в качестве фоновой службы с именем «Durov VKontakte Service». Затем червь анализировал хранящиеся на зараженном компьютере файлы cookies в поисках учетных данных для входа в социальную сеть «ВКонтакте», и, если таковые обнаруживались, по списку «друзей» жертвы рассылалось сообщение со ссылкой на тот же рисунок, загружающий вредоносный файл. Деструктивная функция червя заключалась в том, что 25 числа каждого месяца в 10 часов утра он выводил на экран компьютера сообщение: «Работая с ВКонтакте.РУ, Вы ни разу не повышали свой рейтинг, и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен!» — и начинал удалять файлы с жесткого диска.
Разделение по социальным сетям
Очевидно, что большая часть распространяемых через отечественные се тевые сообщества угроз использует в своих неблаговидных целях наиболее популярные в России социальные сети, к которым относятся порталы «ВКонтакте» и «Одноклассники». Facebook в этом отношении заметно отстает, поскольку сообщения об инфицировании вредоносным ПО в этой сети поступают в основном от зарубежных пользователей, однако методы распространения угроз в данной сети схожие. Так, в ходе одной из последних и наиболее массовых эпидемий на персональной «стене» пользователей Facebook появлялось сообщение с предложением активировать кнопку Dislike («Мне не нравится») в противовес уже имеющейся в ин терфейсе социальной сети кнопке Like («Мне нравится»). После открытия предложенной злоумышленниками ссылки пользователь перенаправлялся на сайт, предлагающий для активации кнопки скопировать в адресную строку браузера фрагмент кода, написанного на JavaScript. Как только пользователь проделает эту нехитрую процедуру, на «стенах» всех, кто зарегистрирован в списке его друзей, появится аналогичное сообщение.
Сервис Twitter также успел прославиться на поприще распространения вирусов, однако, поскольку данный ресурс накладывает жесткие ограни чения на количество символов в сообщениях, здесь вредоносное ПО распространяется в основном через внешние ссылки. Так, недавно в микроблогах пользователей Twitter стали появляться сообщения, содержащие ссылку на сервис, с помощью кото рого якобы можно отследить всех, кто посещает страничку в Twitter, не оставляя на ней комментариев. В итоге в руки злоумышленников попадали учетные данные пользователя, и с его учетной записи начиналась рассылка спама.
Таким образом, можно сказать, что в целом механизм распространения угроз в социальных сетях так или иначе опирается на фишинговые схемы и принципы социальной инженерии. Используя различные психологические приемы, начиная от простой невнимательности пользователя и заканчивая игрой на его любопытстве или сексуальных пристрастиях, злоумышленники пытаются получить доступ к персональным учетным данным для распространения ссылок на вредоносное ПО и инфицированные сайты. Дальнейший рост заражений зачастую обусловлен тем, что многие привыкли относиться с доверием к поступающей от знакомых информации и нажимают на подобные ссылки не задумываясь. Нередко «троянцы» и сетевые черви похищают учетные данные пользователей из хранящихся на их ПК файлов cookies, и с помощью этой информации получают доступ к списку их друзей в популярных сетевых сообществах.
Источник:pcmag.ru
