Websense и Sophos выпустили предупреждения, в которых они сообщают об обнаружении нового типа злонамеренных кодов, в которых встроены геолокационные технологии, определяющие местоположение пользователей.

Как сообщают антивирусные компании, речь идет о новом варианте ранее известного червя Waledac, использующего для большей убедительности методы социальной инженерии .

Новый вариант червя рассылается в спам-письмах, в которых сообщается о сильном взрыве в том или ином городе. В качестве ссылки на новость дается линк на поддельный сайт агентства Reuters. Необычность подхода хакеров кроется в том, что в зависимости от того, из какого города пользователь смотрит на письмо, оно по-разному отображается.

Например, если такое сообщение получает пользователь из Москвы, то он, переходя по ссылке, видит информацию о том, что взрыв произошел в Москве. Если  такое же письмо получает пользователь, который находится в Лондоне, то в его экземпляре сообщается, что взрыв произошел в Лондоне и т.д.

Для получения геолокационной информации на поддельной веб-странице используется база данных GEO-IP, определяющая ближайший к пользователю населенный пункт.

После того, как пользователь попадает нa фальшивый сайт агентства Reuters, все идет по стандартному сценарию - ему предлагается посмотреть видео с места взрыва. Затем система выводит сообщение о том, что у пользователя на компьютере не хватает какого-либо видеокодека или flash-плеера и тут же предлагает загрузить его. Естественно загружается не кодак, а очередной троян для кражи данных.

www.securitylab.ru

Последняя модификация: 18 Март, 2009