Несколько дней назад один из наших партнеров прислал нам для анализа интересные спам-сообщения. Эти сообщения содержали информацию о популярной в СМИ теме, посвященной введению разового налога для банковских счетов клиентов кипрских банков. Известно, что эта информация буквально взорвала медийное пространство и дала почву различным спекуляциям на тему этого налога. На момент, когда всевозможные сообщения начали появляться в СМИ, парламент Кипра еще не проголосовал за введение этого налога, к тому же позднее стало известно, что это решение не было принято, так как законопроект не был одобрен. В то же время мы зафиксировали активность со стороны злоумышленников, которые эксплуатировали эту тему и шумиху вокруг нее в своих целях. Эти злоумышленники рассылали сообщения с заголовками, намекающими на то, что парламент Кипра одобрил законопроект о введении налога на депозиты. Спам-сообщение содержало небольшой текст, темой которого было запугивание пользователя на тему того, что законопроект был одобрен в парламенте. При этом письмо выглядело таким образом, как будто оно было отправлено от телекомпании BBC.



Одно из таких сообщений выглядело следующим образом:



Все ссылки в сообщении, замаскированные под новости BBC, на самом деле направляют пользователя на веб-страницу hxxp://go-my.ru/cyprus_news.html, с которой он перенаправляется на страницу набора эксплойтов Blackhole Exploit Kit с последующей установкой троянской программы Cridex (Win32/Cridex.AA). Мы зафиксировали, что Blackhole использовал один из последних Java-эксплойтов CVE-2013-0431, детектируется нами как Java/Exploit.Agent.NMK.





После заражения пользователь перенаправляется на главную страницу новостей BBC, на которой, разумеется, он может увидеть, что ситуация не так драматична, как казалось на первый взгляд.





В результате атаки, на компьютер пользователя устанавливается Win32/Cridex (карту распространения этой угрозы можно увидеть на нашем Virus Radar).

Эти фишинговые ссылки, упоминаемые в спаме, блокируются нашими антивирусными продуктами.