Сообщение хакеров заражает машины пользователей Twitter поддельным антивирусом
02.06.2009
По словам одного из экспертов, последняя атака на Twitter – это "кошмар для безопасности", поскольку первые в истории сайт был использован хакерами для получения выгоды.
По мнению вирусного аналитика Лаборатории Касперского, Роэля Шувенберга, последний случай отличается от предыдущих атак на Twitter с применением межсайтового скриптинга, так как он не связан с каким-либо сетевым червем. Впрочем, от этого вряд ли легче – в результате нападения хакеры устанавливают на машины своих жертв поддельную антивирусную программу, которая выдает пользователям так много ложных предупреждений, что они зачастую предпочитают заплатить 50 долларов и "зарегистрировать" ее, лишь бы от них избавиться. По мнению Шувенберга, инсталлятор программы довольно типичен, однако опасность заключается не в нем самом, а в том, что Twitter был впервые использован для традиционного хакерского нападения.
В прошедшие выходные пользователи ресурса начали получить сообщения, содержащие фразу "Best Video" и ссылку на русский домен. И хотя кликнувшие по ней люди действительно попадали на видеосайт, имеющийся на нем IFRAME подгружал на машины документ PDF, содержащий большое число эксплоитов, и пытался использовать их один за другим. В случае успеха на компьютеры устанавливался поддельный антивирус.
Шувенберг считает, что опасный PDF-файл содержит код из сравнительного нового многоцелевого хакерского пакета LuckySploit, использующего вредоносные JavaScript.
В субботу администрация Twitter предупредила пользователей об опасной ссылке, а чуть позже уведомила их о том, что скомпрометированные аккаунты временно заблокированы до момента очистки. Однако Роэль Шувенберг полагает, что на этот раз компания просто поставила "дымовую завесу", так как никакого саморазмножающегося вируса в бинарном коде нет. Пользователи, вероятнее всего, были атакованы с тех аккаунтов, данными о которых злоумышленники завладели ранее в результате простого фишинга.
