Сообщение, предлагающее меню со скидками от McDonald’s - новая приманка для заражения пользователей

Александр Панасенко 18 Декабря 2008 - 17:00

...

PandaLabs обнаружила почтовые сообщения, якобы являющиеся специальным рождественским предложением от McDonald’s, а на самом деле распространяющие червя P2PShared.U.

Заголовок сообщения выглядит так “Mcdonalds желает вам счастливого Рождества!”, а текст выглядит следующим образом:

“McDonald's рад представить Вам свое последнее меню с огромными скидками.
Просто распечатайте купон из этого сообщения и отправляйтесь в ближайший McDonald's за БЕСПЛАТНЫМИ подарками и ФАНТАСТИЧЕСКИМИ скидками.”

Для наибольшей достоверности в строке адреса отправителя стоит домен “mcdonalds.com”. Также сообщение содержит выпадающее меню для выбора страны, в которой находится атакуемый пользователь - любопытная деталь, указывающая на то, что сообщения якобы приходят от такой мультинациональной компании как McDonald’s.

Для распространения вредоносный код также использует другие виды почтовых сообщений. Тема сообщений может выглядеть так “Вы получили электронную открытку Hallmark от своего друга”.

Текст сообщения предлагает пользователям скачать и открыть вложение, чтобы просмотреть открытку.

В обоих случаях, если пользователи следуют инструкциям - загружают приложения и пытаются их запустить - на самом деле они загружают копию P2PShared.U на свой компьютер.

“Такие сообщения различными способами эксплуатируют технологии социальной инженерии. Оба сообщения привлекают внимание пользователей с помощью объектов, связанных с Новым Годом. Первое сообщение также эксплуатирует факт финансового кризиса, приглашая пользователей загрузить купон, дающий право на подарки и скидки; что является очень эффективной приманкой", объясняет Луис Корронс, технический директор PandaLabs.

Попав в компьютер, червь начинает рассылать другим пользователям сообщения с такой же темой и содержанием.

В итоге код копирует себя в папки с различными P2P-программами, занятыми в обмене файлов (eMule, LimeWire, Morpheus и т.д.), под именами, связанными с программами безопасности, фото-редакторами, программами-крэками и т.д. Это значит, что пользователь, попытавшийся загрузить любое их этих приложений, тем самым тоже устанавливает копию червя на свой компьютер.

Чтобы избежать подобных инфекций, Panda советует пользователям не открывать сообщения от неизвестных отправителей, в частности, избегать открытия вложений, так как они могут содержать сам код или вредоносную ссылку на него.

Следующая главная новость »

Как эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Екатерина Быстрова 08 Декабря 2025 - 10:45

Android Трояны Домашние пользователи

SeedSnatcher: новый Android-троян охотится за сид-фразами криптокошельков

Исследователи из Cyfirma предупредили о новой опасной кампании, нацеленной на владельцев Android-смартфонов, — на этот раз под удар попали пользователи криптокошельков. Вредоносная программа, получившая имя SeedSnatcher, маскируется под приложение «Coin» и распространяется через Telegram и другие соцсети.

Главная цель — вытащить у жертв сид-фразы и получить доступ к их криптоактивам.

На первый взгляд приложение выглядит безобидно. После установки оно открывает интерфейс через WebView, подгружая страницу с домена m.weibo.com — знакомый и вполне легитимный сайт.

Но за ширмой прячется полноценный шпионский инструмент. В Cyfirma отмечают, что SeedSnatcher умеет собирать данные о системе, передавать информацию на удалённый сервер, выполнять команды операторов и точно копировать интерфейсы популярных криптокошельков.

Основная схема атаки строится на наложениях поддельных окон. Когда пользователь пытается восстановить доступ к своему кошельку — например, MetaMask, Trust Wallet или Coinbase, — вредонос показывает поддельную форму. Введённые слова сид-фразы тут же отправляются злоумышленникам. Причём SeedSnatcher настолько аккуратен, что сверяет каждое введённое слово с официальным перечнем BIP-39, встроенным прямо в приложение.

Но кражей криптовалютных фраз дело не ограничивается. SeedSnatcher способен перехватывать СМС с одноразовыми кодами, собирать список контактов и лог звонков, а также выполнять удалённые команды. Каждая операция запускается отдельным числовым кодом, например, 2100 — запрос информации об устройстве, 2304 — работа с вызовами. Всё это происходит незаметно для пользователя.

Исследователи считают, что за кампанией стоит хорошо организованная группа. В приложении обнаружена система отслеживания установок по партнёрским кодам — так операторы видят, какой «агент» привёл очередную жертву. А языковые следы в панели управления указывают на то, что злоумышленники, скорее всего, из Китая или как минимум являются носителями китайского языка.

Эксперты рекомендуют быть осторожнее с приложениями, распространяемыми через мессенджеры и соцсети, и никогда не вводить сид-фразы в сторонних приложениях — даже если интерфейс выглядит убедительно.