Социальная инженерия для получения трафика

Для злоумышленников очень важно  привести как можно больше пользователей на заражённую страницу – получить трафик. Обычно они делают это с помощью:

• привлечения значительного числа вебмастеров и системных администраторов во вредоносные партнёрские программы;
• массовых взломов популярных сайтов на уровне CMS или веб-серверного ПО, и размещения на них кода, который либо подгружает на страницу вредоносное содержимое, либо осуществляет редирект на зараженный сайт;
• размещения в рекламных сетях ссылок и баннеров, ведущих на заражённые страницы, или активных объектов, способных заразить компьютер при их отображении.

Но в последнее время злоумышленники всё чаще пытаются получить трафик, используя социальную инженерию.

Например, на YouTube в результатах поиска по запросу «лучшее качество» присутствует ряд видеороликов, в описании которых предлагается перейти на сайт – для скачивания или просмотра других клипов.

При переходе оказывается, что сайт не только не содержит никаких роликов, но и подгружает в браузер пользователя вредоносный JavaScript-код, перенаправляющий пользователя на один из популярных эксплойт-паков. Учитывая, что количество просмотров данного ролика более 120 000, то и количество переходов по вредоносной ссылке из комментария, скорее всего, очень велико. Компьютеры перешедших пользователей заражаются локером, который блокирует рабочий стол Windows и требует отправить смс на один из платных номеров, чтобы его разблокировать.

Результаты проверки вредоносного файла сервисом VirusTotal смотрите здесь.

Внешний вид вредоносной «страницы с музыкальными клипами»:

Наша система проверки сайтов обнаруживает подобные страницы и предупреждает о них в Поиске, Яндекс.Браузере и других сборках браузеров «со вкусом Яндекса».

Социальная инженерия для заражения компьютера

Злоумышленники прибегают к социальной инженерии в тех случаях, когда в атакуемой системе не обнаружено общеизвестных уязвимостей, позволяющих установить вредоносное ПО без явного участия пользователя.

Показательным примером является уязвимость CVE-2010-1240 в продуктах Adobe Reader и Adobe Acrobat 9.x (до версии 9.3.3) и 8.x (до версии 8.2.3) для операционных систем Windows и OS X. Уязвимость позволяет атакующему ввести пользователя в заблуждение и заставить его запустить произвольную локальную программу, имя и параметры которой определены в pdf-документе.

Зачастую локальной программой является cmd.exe, которая запускается с определенным набором параметров, извлекает из зараженного pdf-документа вредоносный exe-файл и запускает его.

Разберём один из таких вредоносных pdf-файлов, результаты проверки которого сервисом Virus Total можно найти здесь.

Если открыть документ в текстовом редакторе и просмотреть содержимое объекта номер 155, то мы увидим попытку запуска cmd.exe с определенными параметрами:

Открыв pdf-файл, пользователь видит окно с запросом на запуск программы:

Злоумышленники делают ставку на любопытство пользователя, который захочет нажать на кнопку Open, прочитав, что документ будто бы имеет отношение к правительству США. Это приводит к выполнению команды, которая  запускает вредоносное ПО и заражает компьютер.

Ещё одним ярким примером применения социальной инженерии со стороны злоумышленников для заражения компьютера пользователя вредоносным ПО является применение Java Signed Applet Social Engineering Code Execution, который входит в состав популярного Metasploit Framework. Этот эксплойт динамически создает вредоносный .jar-файл и подписывает его при помощи ЭЦП.

Подписанный таким образом апплет выдаётся при посещении зараженного сайта. JVM показывает пользователю диалоговое окно, в котором просит указать степень доверия к этому апплету. На старых версиях JVM диалоговое окно в поле “Publisher” указывала строку CERTCN из сертификата, которая может быть любой и выбирается злоумышленником. Последние версии JVM показывают сообщение “UNKNOWN”, если сертификат подписи апплета не является доверенным (то есть сертификат не подписан доверенным центром сертификации).

К сожалению, многие не глядя нажимают кнопку Run, и вредоносный код выполняется со всеми правами текущего пользователя, который порой является локальным администратором.

Подобная техника используется в различных эксплойт-паках (например, CrimeBoss exploit pack). Если в системе пользователя не установлена JRE, то появляется сообщение с предложением  установить ее на компьютер, а для установки предлагается уязвимая версия:

Система поведенческого анализа сайтов и проверки pdf-документов успешно детектирует оба вида вредоносного кода, в котором используются методы социальной инженерии, и показывает пользователям предупреждение.

Сайт-локер — это страница, которая имитирует интерфейс популярного сайта, чтобы узнать номер мобильного телефона пользователя. Например, для рассылки спама на этот номер или навязывания платных SMS-услуг. Доменное имя сайта-локера, как правило, похоже на доменное имя популярного ресурса, для чего используются опечатки (yanbex.ru, yendex.ru, yandlex.ru) или поддомены (yandex.ru.hacker.com, yandex.ru.virus.com).

Чтобы увеличить посещаемость сайта-локера, злоумышленники применяют методы чёрной оптимизации, а также прибегают к взлому сайтов. При этом на взломанном сайте размещается код или файл, перенаправляющий посетителя на сайт-локер. Самым распространённым способом создания редиректа является модификация или загрузка на хост файла .htaccess.

Перенаправленный пользователь видит знакомый интерфейс:

Если пользователь продолжит работу с такой страницей, то она попросит его ввести номер телефона — например, для получения денежного приза или для подтверждения того, что посетитель не является роботом.

Само собой, это сообщение не имеет никакого отношения к Яндексу, денежного вознаграждения пользователь не получит, а будет подписан на платную SMS-услугу. После этого сайт-локер может перенаправить посетителя уже на настоящий сайт, чтобы вызвать как можно меньше подозрений.

Сайты-локеры ориентированы не только на поисковые системы, злоумышленники копируют интерфейсы и других популярных сайтов:

Монетизация трафика с помощью сайтов-локеров становится всё более популярной, а количество таких сайтов продолжает расти. Сегодня нам известно более 1000 уникальных хостов, замеченных в подобных схемах.

Для предотвращения сигнатурного обнаружения, скрипты на сайтах-локерах обфусцируются. Например, с помощью добавления обфусцированного кода в конец библиотеки jQuery:

Сообщения, предлагающие ввести номер телефона, иногда могут возникать и при просмотре нормальных сайтов. Вероятная причина этого — вредоносное ПО, установленное на компьютере пользователя без его ведома (например, вследствие успешно проведенной drive-by-download атаки). Один из видов такого ПО описан здесь.

Cтраницы загрузки вредоносных приложений могут существенно отличаться друг от друга по внешнему виду. На них могут присутствовать чужие торговые марки и логотипы – разумеется, компания-владелец торговой марки не имеет никакого отношения к таким страницам. Во многих случаях с сайтов распространяются вредоносные приложения для Android, которые автоматически отправляют с заражённого устройства платные смс. Наличие на сайте отзывов, голосования, видео, статей и обзоров не означает, что файлы, которые на нём размещены, являются безопасными.