Зафиксирована новая спам-кампания в Skype


ESET NOD32Специалистами компании ESET была зафиксирована массированная спам-атака посредством мессенджеров Skype и Gtalk. Для маскировки вредоносных ссылок злоумышленниками использовался сервис Google URL Shortener.

Используя методы социальной инженерии, злоумышленники предлагали пользователям перейти по ссылкам и увидеть заманчивые фотографии. Однако на самом деле, прилагаемые к сообщениям ссылки вели на вредоносное ПО. За первые двое суток с начала вредоносной кампании по этим ссылкам перешло больше полумиллиона пользователей.

Stats perehodov po ssilke ukorochennoi s google url
Статистика переходов по ссылке, укороченной с помощью Google URL Shortener, через несколько часов после начала кампании

При этом подозрительные ссылки были замаскированы с помощью легального сервиса укорачивания длинных ссылок - Google URL Shortener, а также ряда аналогичных ресурсов - bit.ly, ow.ly и других. По адресам, начинающимся с http://goo.gl/..., перешло более 490 тыс. пользователей.

Укороченные ссылки в спам-сообщениях перенаправляли пользователей на страницу загрузки вредоносного ПО, детектируемого как Win32/PowerLoader.A. После установки на компьютере жертвы этот вредонос загружал и запускал дроппер известного червя Dorkbot.

Червь Dorkbot способен:

  • предоставлять злоумышленникам полный доступ к зараженному ПК;
  • загружать и запускать дополнительные вредоносные файлы;
  • рассылать спам-сообщения по базе контактов инфицированного устройства.


Некоторые модификации Dorkbot могут похищать пароли от различных сервисов (аккаунтов социальных сетей, онлайн-банкинга и т.д.).

Жертвами этой спам-кампании стали пользователи всего мира. Особенно пострадали пользователи:

  • Германии;
  • России;
  • Бразилии;
  • Колумбии;
  • Мексики;
  • США.


Для такого размаха киберпреступникам пришлось рассылать сообщения на разных языках, в зависимости от государства. Это, в свою очередь, значительно увеличило эффективность спам-кампании.

Согласно данным Google URL Shortener выяснилось, что переходы из систем, работающих под управлением семейства:

  • ОС Windows - 83%;
  • iOS, Mac OS X, Linux и BlackBerry - 17%.


На сегодняшний день большинство сервисов для укорачивания URL-адресов заблокировали вредоносные ссылки, однако киберпреступники все еще могут давать инструкции подконтрольным ботам, а это может позволить им возобновить атаку в будущем.

Согласно данным ресурса bit.ly, больше всего переходов по вредоносным ссылкам с использованием этого сервиса (более 8 тыс.), произошло в Германии.

Stats perehodov po ssilke ukorochennoi s bitly
Рейтинг стран, пользователи которых чаще всего переходили по вредоносным ссылкам, укороченным с помощью bit.ly

Специалисты компании ESET продолжают следить за активностью киберпреступников, а пользователям они настоятельно рекомендуют воздержаться от перехода по ссылкам в незапрошенных сообщениях, приходящих на электронную почту, а также через социальные сети или популярные онлайн-мессенджеры.


Обновлено (11.06.2013 02:42)