Лаборатория Panda Software обнаружила утилиту, которая использовалась для перенаправления пользователей на страницу, имитирующую официальный веб-сайт iPhone и предназначенную для кражи денег. Кибер-преступники использовали бот-сеть для управления более 7,500 компьютерами, зараженными трояном Aifone.A

Екатеринбург, 13 июля 2007г.

Выход в свет iPhone активно используется кибер-преступниками для получения финансовой прибыли. PandaLabs (www.viruslab.ru) обнаружила утилиту, контролирующую бот-сеть из более чем 7,500 компьютеров-зомби, инфицированных трояном Aifone.A. Если зараженный пользователь попытается приобрести iPhone в онлайновом режиме, его конфиденциальные, вероятно, окажутся в руках кибер-преступников.

Утилита, обнаруженная PandaLabs, содержит ряд функций, позволяющих кибер-преступникам перенаправлять пользователей инфицированных компьютеров на поддельные веб-страницы, маскирующиеся под официальный сайт iPhone. В результате, если пользователь пытается приобрести телефон с поддельной веб-страницы, фактически он сам передает свои конфиденциальные данные в руки кибер-преступников.

Один из разделов найденной утилиты под названием “REDIRECTS ADMIN” позволяет преступникам выбирать веб-страницы, на которые бот переправляет пользователей. В нашем конкретном случае утилита перенаправляет пользователей, которые стремятся посетить официальный сайт iPhone, на поддельные веб-страницы.

Другая закладка - “SEARCH REDIR” – используется для отображения результатов, которые троян обязан демонстрировать, когда зараженный пользователь осуществляет поиск в интернете, также должна отображаться информация о сайтах, на которые он заходил и на какие сайты его следует перенаправлять при переходе по какой-либо определенной ссылке. Конечно же, это веб-страница будет поддельной.

В закладке “INJECTS ADMIN” можно указать ссылки, которые троян Aifone.A должен изменить. В результате, если пользователь заходит на сайт и пользуется такой ссылкой для перехода на страницу iPhone, фактически он попадает на поддельную веб-страницу.

Другие закладки - “POPUPS ADMIN” и “BANNERS ADMIN” – позволяют кибер-преступникам размещать на зараженном компьютере всплывающую рекламу и баннеры iPhone. Главное – обманом заманить пользователя на поддельную веб-страницу и заставить его ввести свои персональные данные.

“Это одна из наиболее изобретательных атак, направленных на определенное сообщество пользователей, в данном случае: пользователей iPhone. Это действительно сложная, опасная атака, сочетающая в себе элементы вредоносного ПО (троян), фишинг (поддельная веб-страница) и даже рекламное ПО (всплывающие окна, редактирование результатов поиска и др.)”, объясняет Луис Корронс, технический директор PandaLabs.

Основная опасность этой атаки заключается в том, что если немного изменить способ воздействия на пользователей, которые на данный момент, например, хотят купить iPhone, и использовать заинтересованность пользователей в других каких-то вопросах, можно будет одновременно разрабатывать сразу несколько групп по интересам, тогда шансы кибер-преступников на успех могут существенно возрасти.

Если Вы думаете, что Ваш компьютер может быть заражен данным вредоносным кодом, бесплатно просканируйте свой ПК на www.infectedornot.com
О PandaLabs
С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную техническую поддержку. В достижении этого, им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, на настоящий момент PandaLabs является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли
(более подробная информация по адресу: www.viruslab.ru).