Автор
Александр Гостев
Сегодня в свободный доступ попали данные учетных записей более чем
130 тысяч пользователей популярной российской социальной сети
«ВКонтакте».
Информация была опубликована на одном из хакерских сайтов.
Наши эксперты проанализировали эти данные и подтверждают факт компрометации.
Согласно нашей информации инцидент выглядит следующим образом:
Сайт, указанный в сообщении (83.133.120.252), известен «Лаборатории
Касперского» как фишинговый и блокируется при попытке обращения к нему
персональными продуктами.
Вредоносная программа Trojan.Win32.VkHost.an
(детектируется нами с 28 июля) распространялась через приложение
ВКонтакте (hxxp://vkontakte.ru/app711384?&m=2, в настоящий момент
заблокировано администрацией ресурса).
После установки в систему данный троянец подменял файл hosts на следующий:
83.133.120.252 vkontakte.ru
83.133.120.252 odnoklassniki.ru
Потом, когда пользователь пытался открыть сайт одной из этих
социальных сетей, то его перенаправляли на фишинговую страницу, в
которой надо было залогиниться.
Логин и пароль уходили в базы на том же сайте 83.133.120.252. В
настоящий момент база «Одноклассников» пуста, поэтому говорить о
компрометации данных пользователей и этой социальной сети — пока рано.
После того, как пользователь логинился на поддельной странице,
происходил редирект сначала на новую страницу. На данной странице
имеется следующий текст:
ВНИМАНИЕ!
Ваш аккаунт опознан системой как потенциально опасный.
С вашего IP-адресса ведётся Спам-рассылка.
Аккаунт признан фейком,созданным злоумышленниками для Спам-рассылок, и
будет удалён через 24 часа после прочтения данного уведомления, в
случае отказа от подтверждения аккаунта.
Если аккаунт настоящий, его необходимо подтвердить.
Отправьте смс с текстом orderit30193 (без пробелов), на номер 6008
В ответном смс вам придёт Код активации.
Стоимость смс соответствует стоимости по вашему тарифному плану.
Что самое интересное, если пользователь отправит смс, то он
действительно получает некий код, так как на сайте имеются страницы с
следующим содержанием:
Kод принят! Скачайте и запустите файл – Скачать
По ссылке находится файл access.exe, который восстанавливает оригинальный файл hosts (127.0.0.1 localhost).
Вы ввели не правильный код.Вернитесь и введите код из смс сообщения!
Мы рекомендуем всем пользователям «ВКонтакте» и «Одноклассников»
проверить содержимое своих файлов hosts, которые находятся в каталоге
%windir%\system32\drivers\etc, и если в них обнаружены ссылки на
vkontakte.ru и odnoklassniki.ru — удалить данные записи.
Обязательно также сменить все пароли от всех аккаунтов! (не только в
социальных сетях, но и в электронной почте и прочие).
В случае попадания на подобные фишинговые страницы, ни в коем случае не
вводить свои логин и пароль и не отправлять никаких SMS-сообщений.
UPD. Мы более детально перепроверили данные и должны сообщить, что
речь идет не о 130 000 аккаунтах, как было написано первоначально, но о
более чем 40 000.
Информация с официального сайта Касперского.
