За последние два дня и пользователи "Одноклассников", и те, кто никогда не был зарегистрирован в этой социальной сети, обнаружили в своих почтовых ящиках письма якобы о полученном сообщении. Ссылка в письме ведет на подложный зараженный сайт.







Как рассказали CNews в «Лаборатории Касперского», спамерская рассылка от имени Odnoklassniki.ru началась примерно в середине дня 24 июля и продолжается до сих пор. Несмотря на то, что атака направлена, прежде всего, на пользователей сервиса Одноклассники.ru, спам-рассылка затрагивает также и тех, кто не зарегистрирован на данном ресурсе. Она имитирует стандартное письмо сайта Одноклассники.ru о получении пользователем нового сообщения.
Масштаб рассылки в «Лаборатории» назвали «широким», что дает право считать ее массовой. Более подробных сведений о количестве зараженных машин (а не самой рассылки) сообщить не смогли.
Сайт Odnoklassniki.ru, по данным «Касперского», не имеет непосредственного отношения к рассылке: хакеры не получили доступ к адресам пользователей «Одноклассников» и использовали для организации рассылки распространенные в России спамерские адресные базы. Выявить реальных виновников атаки, по словам специалистов, крайне тяжело.
Для повышения достоверности приветственная фраза письма «Здравствуйте, XXX» состоит из первой половины e-mail-адреса получателя, то есть пользователь ivan.ivanov@xxxx.ru получит письмо с приветствием «Здравствуйте, Ivan Ivanov». Для просмотра нового сообщения, якобы пришедшего от другого пользователя Одноклассники.ru, предлагается перейти по ссылке http://www.odnoklassnlkl.com, которая перенаправляет доверчивых пользователей на различные сайты, инфицированные троянской программой Trojan-Spy.Win32.Agent.diu, предназначенной для кражи паролей и загрузки на зараженный ПК новых вредоносных программ. Затем пользователь перенаправляется на настоящий сайт «Одноклассников» - видимо, для того, чтобы первый «редирект» не вызвал подозрений.

В корпоративной сети CNews доступ к "Одноклассникам" закрыт, но на скриншоте видно, как с "кривой" ссылки пользователь в итоге перенаправляется на настоящий сайт Odnoklassniki.ru.
В «Лаборатории» подчеркивают, что пользователи социальных сетей являются заманчивой и зачастую легкой целью для злоумышленников, так как письма, присланные от имени администрации ресурса, вызывают большее доверие к себе, чем обычная спам-рассылка.
Менее вредоносные, но не менее спамерские письма приходят в последнее время от имени конкурирующего с «Одноклассники.ru» ресурса – «Одноклассники KM.RU». Письмо, отправленное якобы от друга, приглашает зайти в гости на сайт (причем реальный). На нем все зарегистрировавшиеся по приглашению, а также приглашающие могут поучаствовать в розыгрыше «10 призов по 10 тыс. рублей».

Источник: http://safe.cnews.ru/news/top/index.shtml?2008/07/25/309637