Эксперты Trend Micro нашли уязвимость в Hotmail

Эксперты Trend Micro нашли уязвимость в Hotmail

Изучая целевую атаку по электронной почте, зафиксированную аналитиками TrendLabs несколько дней назад, специалисты известной антивирусной компании вышли на открытую ошибку безопасности в веб-интерфейсе популярной почтовой службы от Microsoft.


Сообщается, что пользователю достаточно открыть особым образом сформированное письмо - в результате этого автоматически активизируется внедренный в него сценарий, который открывает соединение с вредоносным сайтом и загружает оттуда еще один нежелательный скрипт. Вся эта последовательность действий в конечном счете способна привести к хищению важных сведений, хранящихся в почтовом ящике жертвы, а также к извлечению списка ее корреспондентов.

Аналитики отмечают, что в состав ссылки, открываемой опасным сценарием, входят две переменные: имя учетной записи (т.н. Hotmail ID), а также уникальный цифровой идентификатор, который отвечает за загрузку вредоносного содержимого на компьютер пользователя. После того, как доставленный скрипт будет отправлен на исполнение, он сгенерирует запрос к серверу Hotmail; в этом запросе содержится директива об автоматической пересылке всех хранящихся в ящике сообщений на электронный адрес злоумышленника. Есть, впрочем, и положительный момент: письма отправляются только в течение того сеанса, в котором был запущен упомянутый сценарий, так что нежелательные операции будут выполняться лишь до момента выхода пользователя из системы.

Возможность осуществления такой атаки обеспечивается изъяном в механизме фильтрации CSS, применяемом в веб-интерфейсе Hotmail. В результате его злонамеренной эксплуатации в таблицу стилей могут быть внедрены произвольные символы. По имеющимся сведениям, Microsoft уже ликвидировала эту уязвимость; Trend Micro, в свою очередь, внесла в антивирусную базу сигнатуры как для самого письма, так и для загружаемого им скрипта. Соответственно, пользователям Hotmail на данный момент ничто не угрожает.

Trend Micro

Письмо автору

Мошенники сделали схему с доставкой более убедительной и опасной

Злоумышленники обновили давно известную схему с курьерской доставкой, сделав её заметно убедительнее. Теперь они усиливают «социальную привязку», утверждая, что заказчиком услуги является родственник получателя, и даже называют его по имени. Это создаёт у жертвы ощущение реальности происходящего и снижает бдительность.

О модернизации схемы с лжедоставкой сообщили РИА Новости со ссылкой на Angara Security.

Ранее мошенники, как правило, не уточняли отправителя, делая ставку на фактор срочности. Их основной целью было получение идентификационных кодов от различных сервисов либо их имитация — с последующим развитием атаки и попытками похищения средств. Деньги при этом выманивались под предлогом «перевода на безопасный счёт» или передачи наличных курьеру.

Как отметил эксперт по киберразведке Angara MTDR Юрий Дубошей, в обновлённой схеме цели злоумышленников в целом не изменились. Речь по-прежнему идёт о получении контроля над учётной записью, подтверждении действий от имени жертвы или подготовке почвы для хищения денежных средств. Однако теперь этого добиваются за счёт усиленного психологического давления и одновременных попыток повысить уровень доверия.

В Angara Security напомнили, что сотрудники служб доставки никогда не просят сообщать коды подтверждения. При появлении подобных требований разговор следует немедленно прекратить.

При этом никуда не исчезла и более традиционная фишинговая схема, в которой используются точные копии сайтов известных сервисов доставки. Такие схемы также продолжают эволюционировать, становясь всё более сложными и правдоподобными.

RSS: Новости на портале Anti-Malware.ru