Жертвами атаки в Skype стали пользователи из Германии и России


ESET NOD32Специалистами по безопасности из компании ESET было проведено расследование инцидента, произошедшего в мае 2013 года, когда посредством Skype и Gtalk была организована крупномасштабная спам-компания. Тогда злоумышленники применили методы социальной инженерии, предлагая жертвам перейти по ссылкам для просмотра фотографий. Конечно, данные ссылки, замаскированные с помощью легального сервиса Google URL Shortener и его аналогов, перенаправляли пользователей на веб-ресурсы, содержащие вредоносное ПО. Уже за первые двое суток перешло по ссылкам более полумиллиона пользователей.

В результате расследования инцидента и его анализа, удалось установить, что больше всего переходам по ссылкам произошло из:

  • Германии - 80 тыс. кликов;
  • России - 40 тыс.


Около 27% переходов по вредоносным ссылкам были осуществлены пользователями из Мексики, Бразилии и Колумбии.

Также было установлено, что злоумышленники использовали модификацию угрозы Win32/Gapz. Исполняемые файлы данного зловреда основаны на базе известной вредоносной программы PowerLoader.

PowerLoader - вредоносное ПО, способное обходить механизмы решений, обеспечивающих информационную безопасность, а затем загружать на компьютер пользователя другое вредоносное ПО. Чаще всего загруженным вредоносным ПО был червь Win32/Rodpicom.C, способный рассылать фишинговые ссылки в сервисах обмена мгновенными сообщениями.

После активации на компьютере жертвы червь Rodpicom ищет активные в системе процессы, для последующего обнаружения сервисов обмена мгновенными сообщениями:

  • Skype4
  • Windows Messenger;
  • Quite Internet Pager;
  • GoogleTalk;
  • Digsby.


Затем зловред распространяет вредоносный код по контактам пользователя через ссылки в фишинговых сообщениях.

В ходе этой атаки злоумышленники использовали PowerLoader для загрузки других вредоносных программ, предназначенных для кражи конфиденциальных данных. Специалисты ESET определили данные вредоносные программы, как представителей модификации Win32/PowerLoader и Win32/Rodpicom.


Обновлено (25.11.2013 18:31)