Тепер хакери самі будуть використовувати викрадені дані
Деякий час тому компанія MapleSoft, що розробляє математичне та аналітичне програмне забезпечення Maple, повідомила про виявлення злому бази даних. В результаті цього атакуючі змогли отримати доступ до інформації про замовників, такий як адреси електронної пошти, імена та прізвища, а також назви організацій. MapleSoft заявила, що в результаті злому фінансова інформація користувачів не була вкрадена.
На відміну від попередніх зломів баз даних, коли хэшированные паролі викладалися в мережі, в даному випадку атакуючі вирішили піти далі. Клієнти MapleSoft стали отримувати електронні повідомлення нібито від “Групи оновлення безпеки MapleSoft”, в яких повідомлялося, що ЗА Maple піддається атакам, і щоб виправити цю уразливість необхідно встановити оновлення.
Посилання у шкідливих листах часто ведуть зовсім не на заявлені ресурси. Наприклад, користувачам могло здатися, що вони переходять на maplesoft.com. Однак атакуючі трохи змінили текст посилання, внаслідок чого та сторінка, на яку заходила жертва, виявлялася розташованої в зовсім іншому місці. Зазвичай ці посилання ведуть на закордонні домени зі випадково підібраними іменами, а також на зламані сайти, які виступають в ролі посередників, перенаправляючи відвідувача для завантаження шкідливого пз. У цьому випадку зловмисники діяли інакше, зареєструвавши домен maple-soft.com 17 липня і використовували його у своїй поштовій розсилці. Тоді ж MapleSoft було повідомлено, що її замовники отримують небажані повідомлення.
На додаток до цього користувачі, які отримали ці листи, відзначили, що в адресі було написано їх реальне ім'я. Це хитрий хід, який дозволив атакуючим отримати додаткове довіру клієнтів MapleSoft. Один з користувачів опублікував приклад такого повідомлення, замаскованого під розсилку MapleSoft:
Переходячи по посиланню, користувач потрапляє на сторінку з сайту maple-soft.com. Дана сторінка переправляє його на сайт, що містить експлойт Blackhole, який визначає, яку уразливість використовувати для атаки на нічого неподозревающего користувача.
Після того, як зловмисний код, використовуючи уразливість, потрапляє в систему, використовуючи дані відвідувача, у ній зберігається два файлу. Вони визначаються Symantec як Trojan.Zbot і Packed.Generic.367. Користувачі продуктів Symantec Endpoint Protection і Norton вже захищені від подібних вразливостей і завантажень через такі експлойти, як Blackhole. Існують спеціальні сигнатури IPS, які визначають цю версію Blackhole:
- Web Attack: Blackhole Toolkit Website 2;
- Web Attack: Malicious Toolkit Website 9;
- Web Attack: Blackhole Exploit Kit Website 8;
- Web Attack: Malicious File Download Request 10.
Компанія MapleSoft вже повідомила своїм замовникам про злом і докладно розповіла їм про загрозу. Однак на даний момент невідомо, дані про скількох клієнтів MapleSoft були вкрадені, і скільки замовників отримали ці спам-повідомлення.
Хоча останнім часом спостерігається безліч зломів баз даних, ні за одним з них не було такої кампанії, як в даному випадку. Це показує, як подібні атаки переходять від «сліпого фішингу» до більш складним, цільовим повідомленнями. Адже для зловмисників наявність таких даних - це як козир у рукаві.
Фахівці Symantec рекомендують користувачам, які отримують повідомлення про патчах та оновлення через електронну пошту, не переходити за посиланнями в листах. Замість цього краще відвідати реальний веб-сайт постачальника, щоб переконатися в легітимності подібних повідомлень.