В мае 2013 года эксперты ESET обнаружили массовую спам-кампанию в мессенджерах Skype и Gtalk. Злоумышленники использовали методы социальной инженерии, предлагая жертвам перейти по ссылкам и посмотреть фотографии. Ссылки, замаскированные с помощью легального сервиса Google URL Shortener и его аналогов, вели на вредоносное ПО. За первые двое суток атаки более полумиллиона пользователей перешло по ссылкам.
Аналитики ESET поделились результатами расследования этой атаки в отчете «Хронология атаки в Skype». Анализ показал, что 27% переходов по вредоносным ссылкам осуществили пользователи из Мексики, Бразилии и Колумбии. Россия была также в центре атаки: по ссылкам кликнуло более 40 тысяч человек. Больше всего кликов, 80 тысяч, сделали пользователи из Германии.
Также было установлено, что злоумышленники использовали модификацию угрозы Win32/Gapz, исполняемые файлы которой основаны на известной вредоносной программе PowerLoader. Это ПО обходит механизмы решений, обеспечивающих информационную безопасность, и загружает на компьютер пользователя другое вредоносное ПО – червь Win32/Rodpicom.C, рассылающий фишинговые ссылки в сервисах обмена мгновенными сообщениями.
После активации на компьютере жертвы червь Rodpicom ищет процессы, активные в системе, для последующего обнаружения сервисов обмена мгновенными сообщениями: Skype, Windows Messenger, Quite Internet Pager, GoogleTalk, Digsby. Затем он распространяет вредоносный код по контактам пользователя через ссылки в фишинговых сообщениях.
В ходе этой атаки злоумышленники использовали PowerLoader и для загрузки других вредоносных программ, предназначенных для кражи конфиденциальных данных. Вирусной лабораторией ESET было обнаружено более 130 различных вредоносных файлов, использованных злоумышленниками, однако подавляющее большинство представляют собой модификации Win32/PowerLoader и Win32/Rodpicom. Отметим, что обе угрозы активны и по сей день.
Компания ESET продолжает следить за активностью киберпреступников и рекомендует не переходить по ссылкам в незапрошенных сообщениях, приходящих на электронную почту, а также через социальные сети или популярные онлайн-мессенджеры.
Более подробную информацию о расследовании атаки в Skype можно найти в блоге ESET: habrahabr.ru/company/eset/blog