Уже 17 апреля мы [зафиксировали][1] первую рассылку писем, использующую происшествие в Бостоне для привлечения внимания получателей. Спам-сообщения содержали ссылки на взломанные страницы, на которых злоумышленники разместили вредоносные объекты.
На следующий день, 18 апреля, вновь мы зафиксировали рассылки, спекулирующие на трагедии в Бостоне. Темы рассылаемых сообщений имитировали заголовки новостей на сайте CNN (Opinion: Osama death was Faked by CIA - Boston Marathon Explosions Worse News. - CNN.com, Opinion: Updates on the Aftermath of Boston Marathon Explosions - CNN.com, Opinion: Boston Marathon Explosions - Obama Benefits? - CNN.com), но при этом имели абсолютно произвольные и, естественно, поддельные поля «From». Такие «новости» с шокирующими заголовками рассылались также от имени социальной сети LinkedIn и других респектабельных источников. Размещенные в сообщениях ссылки вели на взломанные сайты с эксплойт-паком BlackHole 2. В случае успешной атаки эксплойт загружал шпионскую программу, предназначенную для передачи данных с пользовательского компьютера: информацию из защищенных соединений браузера (HTTPS); cookies браузеров; скриншоты; список контактов, информацию о компьютере (установленные программы, конфигурация системы). «Лаборатория Касперского» детектирует эту программу как Backdoor.Win32.Papras.ppk.
[1]: http://www.securelist.com/ru/blog/207764611/Ekho_sobytiy_v_Bostone
URL: http://www.securelist.com/ru/blog/207764613/Chem_bolshe_sensatsiy_tem_bolshe_zlovredov