Фиктивные кодеки: новый инструмент социальной инженерии

Russian Business Network (RBN), как и следовало ожидать, вовсе не перестала существовать, а временно исчезла из поля зрения исследователей из-за переезда из России в Шанхай. После этого в конце прошлой недели RBN сразу же отметилась участием компьютеров своей бот-сети, зараженных "штормовым" трояном, в рассылке спама, содержавшего ссылки на сайты GeoCities, бесплатного хост-сервиса Yahoo. В свою очередь порталы в зоне GeoCities подверглись заражению вредоносным кодом JavaScript, который перенаправлял посещавших их пользователей на другие порталы, расположенные в Турции.

Переход на турецкие сайты был представлен как необходимость скачать новый кодек, необходимый для просмотра изображений на сайтах GeoCities. Предлагаемый к скачиванию с турецких порталов кодек на самом деле являлся вредоносным кодом, предназначенным для кражи конфиденциальной информации и всевозможных паролей. Следует отметить, что практика ложного предложения скачать кодеки за последние несколько месяцев была неоднократно использована хакерами, стоит вспомнить хотя бы последнее обновление QuickTime или атаку на MySpace. По мнению Trend Micro, фиктивные кодеки дают хакерам новый инструмент заражения пользователей, представляющий собой очередную разновидность методов социальной инженерии.