В Twitter прошла рекламная компания фальшивого антивируса

Twitter занялся сменой паролей аккаунтов, которые начали распространять ссылки с целью рекламы фальшивого антивирусного обеспечения в ходе атаки, которая использовала услугу сокращения адресов Google, чтобы скрыть истинный адрес и назначение этих ссылок.

Нажавший на ссылки, замаскированные услугой сокращения адресов Google goo.gl, проходит через серию переадресаций перед тем, как оказаться на украинском домене верхнего уровня, который потом производит переадресацию на IP-адрес, связанный с другими мошенническими операциями с фальшивым антивирусным программным обеспечением, написал Николас Брулез из Kaspersky Lab в блоге компании.

Жертвам, оказавшимся на странице фальшивого антивирусного обеспечения, предлагается просканировать их компьютеры. Если они подтверждают сканирование, страница спрашивает, хотят ли они избавиться от угроз на их компьютерах: выполнение этого начинает загрузку поддельной программы по обеспечению безопасности Security Shield.

Поддельные антивирусные программы остаются широко распространенной проблемой в Интернете, имеющей сотни вариаций. Дополнения делают мишенью пользователей Windows и программы часто устанавливаются, используя уязвимости в программном обеспечении компьютера. После того, как программа установлена, она начинает донимать пользователей предложением купить полную её версию. Многие из этих программ абсолютно неэффективны и не могут удалить вирусы с компьютера.

Дел Харви, глава команды Twitter Trust and Safety Team, написала в своем аккаунте Twitter, что "мы работаем над удалением ссылок на malware и сменой паролей взломанных аккаунтов".

"Вы нажали на ссылку goo.gl, которая привела вас на страницу с предложением установки Security Shield?", - написала она. "Это вирус. Не устанавливайте".

Хотя Брулез классифицировал атаку как червь, подразумевая, что она распространяется от аккаунта к аккаунту, Харви сказала, что дело не связано с червем.

Если проблема не в распространении между пользователями Twitter, возникает вопрос – как же тогда началась атака?

Возможный вариант состоит в том, что эта атака связана с другой атакой Gawker Media в декабре. В ходе того происшествия адреса электронной почты и пароли зарегистрированных на сайтах компании пользователей были украдены группой Gnosis. На Twitter появилась куча спама после взлома Gawker, и существует мнение, что много пользователей имели одинаковые пароли на многих сайтах, что и сделало их аккаунты Twitter уязвимыми.