«Лаборатория Касперского» сообщает об обнаружении атаки на пользователей популярных социальных сетей MySpace и Facebook

«Лаборатория Касперского» сообщает об обнаружении атаки на пользователей популярных социальных сетей MySpace и Facebook

В настоящее время активность обнаруженных сетевых червей ограничена заражением максимального количества пользователей социальных сетей Facebook и MySpace. Однако эксперты «Лаборатории Касперского» предупреждают, что вирусописатели предусмотрели возможность неограниченного расширения функционала этих червей за счет загрузки дополнительных вредоносных модулей из Сети.

Таким образом, вполне вероятно, что после первоначального этапа заражения как можно большего количества пользователей черви Net-Worm.Win32.Koobface.a и Net-Worm.Win32.Koobface.b изменят свое поведение и будут выполнять совершенно другие функции, заложенные киберпреступниками в дополнительные модули.

Распространение червей происходит следующим образом. Войдя на сайт MySpace.com, червь Net-Worm.Win32.Koobface.a создает различные комментарии к профилям друзей пользователя. Червь Net-Worm.Win32.Koobface.b, атакующий пользователей Facebook.com, создает спамовые сообщения и отправляет его друзьям зараженного пользователя через собственный интерфейс этой социальной сети. Сообщения и комментарии содержат такие тексты как:

«Paris Hilton Tosses Dwarf On The Street»,
«Examiners Caught Downloading Grades From The Internet»,
«Hello; You must see it!!! LOL. My friend catched you on hidden cam»,
«Is it really celebrity? Funny Moments and many others».

Сообщения и комментарии на сайтах MySpace и Facebook сопровождаются ссылками на сайт youtube.o7.pl, при переходе по которым происходит переадресация пользователя на поддельный сайт http://youtube.zx6.ru. На этом сайте якобы размещен видеоролик, для просмотра которого пользователю предлагается установить новую версию Flash Player. Однако вместо этого на компьютер загружается файл codesetup.exe, содержащий еще одного сетевого червя. Пользователям, пришедшим с сайта Facebook, устанавливается версия червя для социальной сети MySpace, а пользователям, пришедшим с сайта MySpace, устанавливается червь для социальной сети Facebook.

«Важно отметить, что пользователи с большим доверием относятся к сообщениям, полученным от своих друзей по социальной сети, поэтому вероятность перехода по присланным червями ссылкам весьма велика, - говорит ведущий вирусный аналитик «Лаборатории Касперского» Александр Гостев. – Еще в самом начале 2008 года мы прогнозировали рост интереса киберпреступников к Facebook, MySpace и другим подобным ресурсам, и теперь, к сожалению, наши прогнозы начинают сбываться. Я уверен, что данная атака является лишь пробным камнем, и вирусописатели будут только увеличивать интенсивность атак против пользователей социальных сетей».

Сигнатуры угроз вредоносных программ Net-Worm.Win32.Koobface.a и Net-Worm.Win32.Koobface.b были добавлены в антивирусные базы «Лаборатории Касперского» 31 июля 2008 года.

Фейковый Google Play маскирует онлайн-казино под приложения Tesco, Amazon

Мошенники нашли красивую упаковку для старой схемы: берут известный бренд, рисуют фейковую страницу Google Play, запускают рекламу в соцсетях и под видом официального приложения ведут пользователя в онлайн-казино. В объявлениях злоумышленники используют названия и визуальный стиль известных компаний, включая Tesco, Amazon, Monzo, Revolut и стриминговые сервисы.

По данным Netcraft, кампания продвигается через платную рекламу в Facebook, Instagram, Threads (все три принадлежат корпорации Meta, признанной экстремистской и запрещённой в России) и TikTok.

Где-то всё выглядит примитивно — просто «Brand Slots». А где-то уже почти спектакль: поддельные интерфейсы, фальшивые отзывы, липовые данные из магазинов приложений и даже ИИ-видео с якобы сотрудниками бренда.

 

Главная легенда — официальный запуск слотов или казино-приложения от известной компании. Пользователь кликает по рекламе и попадает на страницу, похожую на Google Play, App Store или сайт бренда. Но кнопка «Install» не ведёт в настоящий магазин приложений. Вместо этого браузер предлагает добавить на главный экран PWA — прогрессивное веб-приложение.

После установки такая штука выглядит как обычное приложение: с иконкой, названием и оформлением под бренд. На деле это тонкая обёртка, которая открывает сторонний сайт онлайн-казино. То есть пользователь думал, что ставит «Amazon Slots» или «Monzo Slots», а получил ярлык на азартную площадку.

Netcraft считает, что схему подпитывает партнёрская экономика. В PWA и ссылках есть параметры, которые позволяют отслеживать регистрации и депозиты. По открытым данным, выплаты за игрока, внесшего депозит, могут составлять от $50 до $350. С такими ставками мошенникам есть смысл вкладываться в правдоподобные объявления и массовый запуск рекламы.

В некоторых кампаниях использовались фейковые страницы с вымышленными разработчиками, скачиваниями и отзывами. Были и интерактивные приманки вроде колеса удачи с гарантированным выигрышем, после которого пользователя просили установить PWA, чтобы забрать приз.

Опасность здесь не только в потерянных деньгах. Такие PWA размывают границу между настоящим приложением и подделкой: браузерная оболочка минимальна, и всё выглядит почти как фирменный сервис. Только фирменного там — разве что украденный логотип.

RSS: Новости на портале Anti-Malware.ru