Atak na użytkowników serwisu nasza-klasa.pl
W weekend zaobserwowano masową ilość e-maili wysłanych rzekomo przez portal nasza-klasa.pl, w których zawarta była informacja o oczekującej wiadomości od jednego z użytkowników. W rzeczywistości jest to próba zarażenia odbiorcy trojanem.
Pierwsze fałszywe e-maile pojawiły się już w piątek wieczorem. Przypominały powiadomienie z serwisu nasza-klasa.pl o oczekującej wiadomości przesłanej od jednego z użytkowników. Zawierały początek rzekomej wiadomości (m.in. “Hello!, Kocham Cie! [...]” i “Hi!, I love you!!”) i informację, że dalsza część dostępna jest po kliknięciu w odnośnik.
Link nie prowadził jednak do strony WWW naszej-klasy, lecz do łudząco podobnej. Jej adres co prawda zawierał fragment “nasza-klasa.pl”, lecz na tym się nie kończył i w dalszej części znajdowała się domena zakończona rozszerzeniem m.in. “.com”, “.net”, “.us” i “.in”. Fałszywa strona zawierała komunikat sugerujący, że obsługa animacji Flash w przeglądarce została wyłączona, przez co niektóre opcje nie będą działać (w oryginale na końcu brakowało polskiej litery “ć”).
(kliknij, aby powiększyć)
Użytkownik zachęcany był do pobrania pliku będącego rzekomo instalatorem najnowszej wersji aplikacji Flash Player (miała być to v.9.1.190, podczas, gdy obecnie najnowszą wersją jest 9.0.124.0). Plik nazywał się install_flash_player.exe. W rzeczywistości był to trojan, który po uruchomieniu umożliwiał przejęcie kontroli nad komputerem użytkownika.
(plik przeanalizowany przez VirusTotal, kliknij, aby powiększyć)
Atak ten jest bardzo podobny do ataku na użytkowników serwisu fotka.pl, który miał miejsce w zeszłym tygodniu (pisaliśmy o nim tutaj). Wykorzystano te same domeny, a rzekome komunikaty w fałszywych e-mailach miały podobną treść. Dlatego za obydwoma atakami może stać ta sama grupa cyberprzestępców. Nie wykluczone także, że będą miały miejsce dalsze podobne ataki skierowane do użytkowników innych serwisów społecznościowych, więc apelujemy o ostrożność.
