Блог о безопасности

Применение социальной инженерии для заражения пользователей

14 декабря 2012, 14:18

Для распространения вредоносного программного обеспечения злоумышленники часто используют социальную инженерию и добиваются своего с помощью психологических приемов манипуляции. В этом посте мы разберём несколько типичных случаев применения подобных механизмов.



Социальная инженерия для получения трафика


Для злоумышленников очень важно  привести как можно больше пользователей на заражённую страницу – получить трафик. Обычно они делают это с помощью:

  • привлечения значительного числа вебмастеров и системных администраторов во вредоносные партнёрские программы;
  • массовых взломов популярных сайтов на уровне CMS или веб-серверного ПО, и размещения на них кода, который либо подгружает на страницу вредоносное содержимое, либо осуществляет редирект на зараженный сайт;
  • размещения в рекламных сетях ссылок и баннеров, ведущих на заражённые страницы, или активных объектов, способных заразить компьютер при их отображении.

Но в последнее время злоумышленники всё чаще пытаются получить трафик, используя социальную инженерию.


Например, на YouTube в результатах поиска по запросу «лучшее качество» присутствует ряд видеороликов, в описании которых предлагается перейти на сайт – для скачивания или просмотра других клипов.




При переходе оказывается, что сайт не только не содержит никаких роликов, но и подгружает в браузер пользователя вредоносный JavaScript-код, перенаправляющий пользователя на один из популярных эксплойт-паков. Учитывая, что количество просмотров данного ролика более 120 000, то и количество переходов по вредоносной ссылке из комментария, скорее всего, очень велико. Компьютеры перешедших пользователей заражаются локером, который блокирует рабочий стол Windows и требует отправить смс на один из платных номеров, чтобы его разблокировать.


Результаты проверки вредоносного файла сервисом VirusTotal смотрите здесь.


Внешний вид вредоносной «страницы с музыкальными клипами»:



Наша система проверки сайтов обнаруживает подобные страницы и предупреждает о них в Поиске, Яндекс.Браузере и других сборках браузеров «со вкусом Яндекса».



Социальная инженерия для заражения компьютера


Злоумышленники прибегают к социальной инженерии в тех случаях, когда в атакуемой системе не обнаружено общеизвестных уязвимостей, позволяющих установить вредоносное ПО без явного участия пользователя.


Показательным примером является уязвимость CVE-2010-1240 в продуктах Adobe Reader и Adobe Acrobat 9.x (до версии 9.3.3) и 8.x (до версии 8.2.3) для операционных систем Windows и OS X. Уязвимость позволяет атакующему ввести пользователя в заблуждение и заставить его запустить произвольную локальную программу, имя и параметры которой определены в pdf-документе.


Зачастую локальной программой является cmd.exe, которая запускается с определенным набором параметров, извлекает из зараженного pdf-документа вредоносный exe-файл и запускает его.


Разберём один из таких вредоносных pdf-файлов, результаты проверки которого сервисом Virus Total можно найти здесь.


Если открыть документ в текстовом редакторе и просмотреть содержимое объекта номер 155, то мы увидим попытку запуска cmd.exe с определенными параметрами:



Открыв pdf-файл, пользователь видит окно с запросом на запуск программы:



Злоумышленники делают ставку на любопытство пользователя, который захочет нажать на кнопку Open, прочитав, что документ будто бы имеет отношение к правительству США. Это приводит к выполнению команды, которая  запускает вредоносное ПО и заражает компьютер.


Ещё одним ярким примером применения социальной инженерии со стороны злоумышленников для заражения компьютера пользователя вредоносным ПО является применение Java Signed Applet Social Engineering Code Execution, который входит в состав популярного Metasploit Framework. Этот эксплойт динамически создает вредоносный .jar-файл и подписывает его при помощи ЭЦП.


Подписанный таким образом апплет выдаётся при посещении зараженного сайта. JVM показывает пользователю диалоговое окно, в котором просит указать степень доверия к этому апплету. На старых версиях JVM диалоговое окно в поле “Publisher” указывала строку CERTCN из сертификата, которая может быть любой и выбирается злоумышленником. Последние версии JVM показывают сообщение “UNKNOWN”, если сертификат подписи апплета не является доверенным (то есть сертификат не подписан доверенным центром сертификации).



К сожалению, многие не глядя нажимают кнопку Run, и вредоносный код выполняется со всеми правами текущего пользователя, который порой является локальным администратором.


Подобная техника используется в различных эксплойт-паках (например, CrimeBoss exploit pack). Если в системе пользователя не установлена JRE, то появляется сообщение с предложением  установить ее на компьютер, а для установки предлагается уязвимая версия:



Система поведенческого анализа сайтов и проверки pdf-документов успешно детектирует оба вида вредоносного кода, в котором используются методы социальной инженерии, и показывает пользователям предупреждение.


Чтобы не стать жертвой подобных атак:

  1. Будьте бдительны, переходя по ссылкам из пользовательского контента, – из комментариев, писем и сообщений в мессенджерах. Пользуйтесь сервисами, которые проверяют такие ссылки. Если вы сами размещаете ссылки – применяйте сокращатели ссылок, выполняющие проверку.
  2. Используйте антивирусы и безопасные браузеры, своевременно обновляйте операционную систему и её компоненты – это снизит вероятность заражения.
  3. Большинство видео уже собрано на популярных видеохостингах – нет необходимости переходить куда-то еще.
  4. Внимательно читайте системные сообщения, особенно связанные с запуском приложений.
  5. С особой осторожностью относитесь к разрешению java-апплетам, ЭЦП которых не является доверенной, обращаться к диску вашего компьютера. 
  6. Устанавливайте ПО только из известных и надежных источников. Не отключайте антивирус, даже если на странице, с которой вы загрузили дистрибутив, написано что-то вроде: «Чтобы приложение нормально установилось и работало – отключите антивирус».

Чтобы проверять ссылки на своём сайте или в своём приложении, подключите его к Safe Browsing API Яндекса.


Если вы обнаружите примеры клиентского или серверного вредоносного кода, в том числе связанного с социальной инженерией, присылайте их, пожалуйста, на адрес: virus-samples@yandex-team.ru.


Команда Безопасного Поиска Яндекса

4 комментария
Подписаться на комментарии к посту
PR шпионских присосок Яндекса зощитан

А как насчет такого вредоносного ПО, как Яндекс-бар, которое без предупреждения прописывается везде, где можно, ведет себя как вирус, не предоставляет возможности деинсталляции, и вычистить которое с компьютера безумно сложно?

Помнится мне, так хотели сломать частную школу Колибри, московскую помоему, тоже сайт с опечаткой. Я на сайт их ходил и дивился, что там и кому нужно было ломать. Смех какой-то.:-D

Яндекс-диск еще круче. Эта тварь почти догнала "кипер классик" по шпионажу. Форевер яндекс!