Социальная инженерия для получения трафика

Для злоумышленников очень важно  привести как можно больше пользователей на заражённую страницу – получить трафик. Обычно они делают это с помощью:

• привлечения значительного числа вебмастеров и системных администраторов во вредоносные партнёрские программы;
• массовых взломов популярных сайтов на уровне CMS или веб-серверного ПО, и размещения на них кода, который либо подгружает на страницу вредоносное содержимое, либо осуществляет редирект на зараженный сайт;
• размещения в рекламных сетях ссылок и баннеров, ведущих на заражённые страницы, или активных объектов, способных заразить компьютер при их отображении.

Но в последнее время злоумышленники всё чаще пытаются получить трафик, используя социальную инженерию.

Например, на YouTube в результатах поиска по запросу «лучшее качество» присутствует ряд видеороликов, в описании которых предлагается перейти на сайт – для скачивания или просмотра других клипов.

При переходе оказывается, что сайт не только не содержит никаких роликов, но и подгружает в браузер пользователя вредоносный JavaScript-код, перенаправляющий пользователя на один из популярных эксплойт-паков. Учитывая, что количество просмотров данного ролика более 120 000, то и количество переходов по вредоносной ссылке из комментария, скорее всего, очень велико. Компьютеры перешедших пользователей заражаются локером, который блокирует рабочий стол Windows и требует отправить смс на один из платных номеров, чтобы его разблокировать.

Результаты проверки вредоносного файла сервисом VirusTotal смотрите здесь.

Внешний вид вредоносной «страницы с музыкальными клипами»:

Наша система проверки сайтов обнаруживает подобные страницы и предупреждает о них в Поиске, Яндекс.Браузере и других сборках браузеров «со вкусом Яндекса».

Социальная инженерия для заражения компьютера

Злоумышленники прибегают к социальной инженерии в тех случаях, когда в атакуемой системе не обнаружено общеизвестных уязвимостей, позволяющих установить вредоносное ПО без явного участия пользователя.

Показательным примером является уязвимость CVE-2010-1240 в продуктах Adobe Reader и Adobe Acrobat 9.x (до версии 9.3.3) и 8.x (до версии 8.2.3) для операционных систем Windows и OS X. Уязвимость позволяет атакующему ввести пользователя в заблуждение и заставить его запустить произвольную локальную программу, имя и параметры которой определены в pdf-документе.

Зачастую локальной программой является cmd.exe, которая запускается с определенным набором параметров, извлекает из зараженного pdf-документа вредоносный exe-файл и запускает его.

Разберём один из таких вредоносных pdf-файлов, результаты проверки которого сервисом Virus Total можно найти здесь.

Если открыть документ в текстовом редакторе и просмотреть содержимое объекта номер 155, то мы увидим попытку запуска cmd.exe с определенными параметрами:

Открыв pdf-файл, пользователь видит окно с запросом на запуск программы:

Злоумышленники делают ставку на любопытство пользователя, который захочет нажать на кнопку Open, прочитав, что документ будто бы имеет отношение к правительству США. Это приводит к выполнению команды, которая  запускает вредоносное ПО и заражает компьютер.

Ещё одним ярким примером применения социальной инженерии со стороны злоумышленников для заражения компьютера пользователя вредоносным ПО является применение Java Signed Applet Social Engineering Code Execution, который входит в состав популярного Metasploit Framework. Этот эксплойт динамически создает вредоносный .jar-файл и подписывает его при помощи ЭЦП.

Подписанный таким образом апплет выдаётся при посещении зараженного сайта. JVM показывает пользователю диалоговое окно, в котором просит указать степень доверия к этому апплету. На старых версиях JVM диалоговое окно в поле “Publisher” указывала строку CERTCN из сертификата, которая может быть любой и выбирается злоумышленником. Последние версии JVM показывают сообщение “UNKNOWN”, если сертификат подписи апплета не является доверенным (то есть сертификат не подписан доверенным центром сертификации).

К сожалению, многие не глядя нажимают кнопку Run, и вредоносный код выполняется со всеми правами текущего пользователя, который порой является локальным администратором.

Подобная техника используется в различных эксплойт-паках (например, CrimeBoss exploit pack). Если в системе пользователя не установлена JRE, то появляется сообщение с предложением  установить ее на компьютер, а для установки предлагается уязвимая версия:

Система поведенческого анализа сайтов и проверки pdf-документов успешно детектирует оба вида вредоносного кода, в котором используются методы социальной инженерии, и показывает пользователям предупреждение.