Эксперты из ИБ-компании SophosLabs сообщили о новой весьма необычной вредоносной кампании. С помощью искусно подделанных электронных писем якобы от Министерства труда США злоумышленники распространяют банковское вредоносное ПО Vawtrak.
Для того чтобы успешно обходить спам-фильтры и не вызывать ни малейших подозрений у жертв, злоумышленники подделывают фишинговые письма под выпущенные правительственными организациями уведомления о нововведениях в законодательстве. Наряду с другими ведомствами Министерство труда США рассылает заинтересованным сторонам бюллетени с перечислением новых правил. Это очень удобно, поскольку позволяет все время быть в курсе новых законов и освобождает от необходимости прочитывать тонны законодательных актов.
К сожалению, такие уведомления являются лакомым кусочком для мошенников, которые мастерски копируют их для распространения вредоносного ПО. В случае с уведомлением от Министерства труда США, рассылаемом в прошлом месяце, злоумышленники подделали его таким образом, чтобы вынудить жертву загрузить на свой компьютер вредоносное ПО.
Сообщение содержит ссылку на якобы PDF-документ, скачав который, можно ознакомиться с нововведениями в сфере здравоохранения. Примечательно, что он размещается не на сервере dol.gov, где хранятся настоящие документы Министерства труда США, а на сервере, принадлежащем турецким компаниям в сфере питания.
Судя по используемым злоумышленниками URL-адресам, можно сделать вывод, что их «документ» находится в субдиректории на сервере, принадлежащем плагину WordPress. Файл PDF, который предлагается скачать, имеет имя health_coverage_webcast.pdf. Но это только название файла, без указания расширения. Имя файла с расширением выглядит следующим образом: health_coverage_webcast.pdf.scr. Расширение .SCR обычно предполагает скринсейвер, однако никакой заставки документ в действительности не содержит. Вместо нее в документе находится загрузчик вредоносного ПО Vawtrak.
По данным SophosLabs, операторы ботнета Vawtrak могут по своему усмотрению распоряжаться результатами его активности (так называемая бизнес-модель Crimeware-as-a-Service), например, продавать похищенные банковские данные.
