Group-IB предотвратили масштабную кражу персональных данных и денег у пользователей социальных сетей
Дата публикации: 20 ноября 2013
Специалистам компании Group-IB удалось пресечь деятельность мошенников, которые с помощью вредоносного ПО блокировали страницы пользователей в социальных сетях, вымогали деньги за восстановление доступа, параллельно воруя конфиденциальные данные. В настоящий момент ресурс, с «говорящим названием» — lomaem24.ru, заблокирован американским регистратором Publicdomainregistry.com. Блокировка ресурса была осуществлена после проведенной экспертизы и подачи заявки CERT-GIB.
Сама схема распространения вредоносного ПО выглядела следующим образом:
Заражение компьютера пользователя вирусом InstallMonster происходило после посещения ресурса lomaem24.ru. После попадания на компьютер пользователя программа изменяла записи в файле «hosts».
# ----nananananannananannanananana----
5.104.107.74 my.mail.ru
5.104.107.74 m.my.mail.ru
5.104.107.74 vk.com
5.104.107.74 ok.ru
5.104.107.74 m.vk.com
5.104.107.74 odnoklassniki.ru
5.104.107.74 vk.com
5.104.107.74 http://www.odnoklassniki.ru
5.104.107.74 m.odnoklassniki.ru
5.104.107.74 ok.ru
5.104.107.74 m.ok.ru
5.104.107.74 http://www.odnoklassniki.ru
В результате заражения, при переходе на страницы социальных медиа, пользователь видел поддельную страницу, требующую оплаты за восстановление доступа к странице. Помимо этого страница содержала поля ввода данных, для последующей кражи аккаунта:
Стоит отметить, что заявка на проверку подозрительного ресурса была получена через форму обратной связи на сайте некоммерческого проекта CERT-GIB,—Antiphishing.ru. Проект представляет собой электронную форму для принятия сообщений о подозрительных ресурсах, созданных для целенаправленных атак на пользователей сети Интернет. Специалисты компании призывают граждан оставаться бдительными и сообщать о появлении новых мошеннических схемах на просторах сети.