На протяжении последних недель специалистами Symantec несколько раз сообщалось о взломах баз данных и краже информации о пользователях различных сайтов с применением разных методов атаки. Значительная часть инцидентов приводит к появлению в сети списков имен пользователей и их паролей. Однако у хакеров всегда оставалась возможность запустить злонамеренную кампанию, используя полученные данные.
Некоторое время назад компания MapleSoft, разрабатывающая математическое и аналитическое программное обеспечение Maple, сообщила об обнаружении взлома базы данных. В результате этого атакующие смогли получить доступ к информации о заказчиках, такой как адреса электронной почты, имена и фамилии, а также названия организаций. MapleSoft заявила, что в результате взлома финансовая информация пользователей не была украдена.
В отличие от предшествовавших взломов баз данных, когда хэшированные пароли выкладывались в сети, в данном случае атакующие решили пойти дальше. Клиенты MapleSoft стали получать электронные сообщения якобы от Группы обновления безопасности MapleSoft, в которых сообщалось, что ПО Maple подвержено атакам, и чтобы исправить эту уязвимость необходимо установить обновление.
Ссылки во вредоносных письмах зачастую ведут совсем не на заявленные ресурсы. Например, пользователям могло показаться, что они переходят на maplesoft.com. Однако атакующие незначительно изменяли текст ссылки, в результате чего та страница, на которую заходила жертва, оказывалась расположенной в совершенно другом месте. Обычно эти ссылки ведут на зарубежные домены со случайно подобранными именами, а также на взломанные сайты, которые выступают в роли посредников, перенаправляя посетителя для загрузки вредоносного ПО. В этом случае злоумышленники действовали иначе, зарегистрировав домен maple-soft.com 17 июля и использовали его в своей почтовой рассылке. Тогда же MapleSoft была уведомлена, что ее заказчики получают нежелательные сообщения.
В дополнение к этому пользователи, получившие эти письма, отметили, что в адресе было написано их реальное имя. Это хитрый ход, позволивший атакующим получить дополнительное доверие от клиентов MapleSoft. Один из пользователей опубликовал пример такого сообщения, маскирующегося под рассылку MapleSoft:
Переходя по ссылке, пользователь попадает на страницу с сайта maple-soft.com. Данная страница переправляет его на сайт, содержащий эксплойт Blackhole, который определяет, какую уязвимость использовать для атаки на ничего неподозревающего пользователя.
После того, как злонамеренный код, используя уязвимость, попадает в систему, используя данные посетителя, в ней сохраняется два файла. Они определяются Symantec как Trojan.Zbot и Packed.Generic.367. Пользователи продуктов Symantec Endpoint Protection и Norton уже защищены от подобных уязвимостей и загрузок через такие эксплойты, как Blackhole. Существуют специальные сигнатуры IPS, которые определяют эту версию Blackhole:
· Web Attack: Blackhole Toolkit Website 2;
· Web Attack: Malicious Toolkit Website 9;
· Web Attack: Blackhole Exploit Kit Website 8;
· Web Attack: Malicious File Download Request 10.
Компания MapleSoft уже сообщила своим заказчикам о взломе и подробно рассказала им об угрозе. Однако на данный момент неизвестно, данные о скольких клиентах MapleSoft были украдены, и сколько заказчиков получили эти спам-сообщения.
Хотя в последнее время наблюдается множество взломов баз данных, ни за одним из них не последовало такой кампании, как в данном случае. Это показывает, как подобные типы атак переходят от «слепого фишинга» к более сложным, целевым сообщениям. Ведь для злоумышленников наличие таких данных — это как козырь в рукаве.
Специалисты Symantec рекомендуют пользователям, получающим уведомления о патчах и обновлениях ПО через электронную почту, не переходить по ссылкам в письмах. Вместо этого лучше посетить реальный веб-сайт поставщика, чтобы убедиться в легитимности подобных сообщений.