«Мгновенные» угрозы

«Лаборатория Касперского», ведущий разработчик систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, публикует аналитическую статью «"Мгновенные" угрозы» Дениса Масленникова и Бориса Ямпольского, вирусных аналитиков компании, посвященную распространению вредоносного ПО через программы для мгновенного обмена сообщениями (IM-клиенты).

Данные программы весьма привлекательны для различного рода злоумышленников, в связи с чем проблема распространения вредоносного ПО через IM-клиенты стоит достаточно остро. Новые версии клиентов содержат неизвестные до поры до времени уязвимости, которые могут быть обнаружены сначала хакерами, и только потом – создателями программы. Такие ситуации чреваты массовыми эпидемиями. Кроме того, многих пользователей беспокоят нежелательные сообщения (IM-спам).

В статье на примере ICQ – популярного во многих странах IM-клиента – рассматриваются наиболее распространенные способы атак, которые злоумышленники предпринимают и в отношении пользователей других IM-клиентов.

Кража паролей. У каждого пользователя ICQ есть уникальный идентификационный номер, или UIN. Наиболее распространены девятизначные номера, однако многие пользователи предпочитают иметь пяти-, шести- или семизначные UIN’ы, содержащие, например, только две цифры.

Такие номера называются «красивыми». Они продаются (цена, как правило, достаточно высока), и в большинстве случаев добываются нелегальным путем. Многочисленные интернет-магазины зачастую занимаются «промышленным» перебором паролей и кражей аккаунтов. Кроме того, получить аккаунт пользователя можно, подобрав пароль к его primary email (почтовому адресу, введенному в контактную информацию при регистрации). Доступ к primary email дает возможность изменить пароль пользователя к его UIN’у: злоумышленник связывается со службой поддержки ICQ и от имени владельца аккаунта просит выслать новый пароль взамен якобы забытого старого.

Наиболее популярна кража ICQ-номеров при помощи различных вредоносных программ, среди которых лидирует семейство Trojan-PSW.Win32.LdPinch, угрожающее пользователям на протяжении последних нескольких лет. LdPinch ворует пароли не только к ICQ и другим IM-клиентам, но также к почтовым клиентам, различным FTP-программам, онлайн-играм и т.д. Популярности LdPinch способствует простота создания необходимого злоумышленнику троянца – для этого существуют специальные программы-конструкторы.

Распространение вредоносных программ. Через ICQ преимущественно распространяются: IM-черви, использующие клиент как плацдарм для саморазмножения; троянские программы, нацеленные на воровство паролей (в подавляющем большинстве случаев это Trojan-PSW.Win32.LdPinch); вредоносное ПО, предназначенное для получения от пользователя денежных средств обманным путем (например, Hoax.Win32.*.*).

Если распространение IM-червей обычно происходит без участия (или почти без участия) пользователя, то в других случаях злоумышленники пытаются спровоцировать потенциальную жертву на активные действия: клик по ссылке, размещенной в полученном сообщении, загрузку и открытие определенного файла и т.д. Для достижения желаемого результата интернет-мошенники часто применяют методы социальной инженерии.

При распространении вредоносных программ с помощью ICQ-спама рассылаемые сообщения включают ссылки непосредственно на вредоносное ПО либо на сайты, страницы которых заражены кодом троянцев-даунлоадеров. В задачу даунлоадеров входит загрузка другого вредоносного ПО на компьютер жертвы, чаще всего с использованием уязвимости браузеров (в основном, Internet Explorer). Кроме того, для осуществления атаки могут использоваться уязвимости в самих программах для мгновенного обмена сообщениями. С помощью уязвимости можно, например, вызвать переполнение буфера и исполнение произвольного кода в системе. Уязвимость также позволяет атакующему получить доступ к удаленному компьютеру без ведома и согласия его владельца.

Спам в ICQ. Количество нежелательных сообщений, получаемых пользователем в единицу времени, напрямую зависит от его ICQ-номера. На шестизначный номер в среднем приходит 15-20 нежелательных сообщений в час, ничем не примечательные девятизначные номера получают 10-14 таких сообщений в сутки, а «красивые» – в 2-2,5 раза больше.

Тематика спама в ICQ значительно отличается от таковой в электронной почте. Если в e-mail около 90% спам-сообщений рекламируют различные товары и услуги, то в ICQ на долю таких предложений приходится менее 13%, причем чаще всего (5,45%) предлагаются нелегальные сервисы. 8,17% нежелательных ICQ-сообщений посвящены собственно ICQ: это может быть агитация за ICQ 6.x, покупка и продажа UIN’ов, «письма счастья ICQ-пользователя» и т.д.

В ICQ реализована возможность поиска собеседников по интересам, что позволяет злоумышленникам осуществлять спам-рассылки, рассчитанные на целевую аудиторию. При этом спамеры учитывают возраст ICQ-пользователей, львиную долю которых составляет молодежь. На долю «молодежных» тематик приходится около 50% всех спам-сообщений; доминируют предложения посетить развлекательные сайты (18,47%) и сообщения с рекламой «для взрослых» (17,19%). На молодежную аудиторию ориентирован и спам, который можно отнести к категориям «Компьютерные игры», «Голосования», «Мобильный спам».

Цели, которые преследуют злоумышленники, атакуя IM-клиенты:

1. Продажа краденых ICQ-номеров (оптовых партий девятизначных номеров и штучных «красивых» номеров).
2. Создание спам-листов для продажи их спамерам или для осуществления массовых рассылок вредоносных программ.
3. Использование контакт-листов украденных номеров в качестве доверенных источников для «заема» денег.
4. Загрузка вредоносного программного обеспечения через уязвимости.
5. Кража паролей к FTP-серверам с целью изменения web-страниц легальных сайтов для дальнейшей загрузки вредоносного программного обеспечения на компьютеры посетителей.
6. Создание ботнетов или расширение уже существующих зомби-сетей.
7. Прочая вредоносная деятельность.

Специфических средств защиты IM-клиентов на данный момент не существует, однако соблюдение элементарных правил «компьютерной гигиены», правильно настроенный антиспам-бот, а также внимательность и благоразумие позволяют пользователям успешно противостоять интернет-мошенникам и спокойно наслаждаться общением в Сети.

Полную версию статьи «"Мгновенные" угрозы» читайте на информационно-аналитическом портале Viruslist.com.

Источник: Лаборатория Касперского