Специалисты M86 Security Labs выяснили, кто стоит за ростом спама с вредоносными HTML-аттачментами, который отмечался в первые дни 2012 года. Виновным оказался ботнет Cutwall.
Раньше HTML-письма использовались в основном только для фишинга, но с января этого года начались периодические атаки с рассылкой HTML-документов, содержащих вредоносный скрипт. На стороне почтового клиента это выглядит так.
На этой иллюстрации показано, как письмо открывается в почтовом клиенте Mozilla Thunderbird. Настройки по умолчанию данной программы не позволяют запуск JavaScript, и для исполнения вредоносного кода пользователь должен вручную открыть HTML-файл, щёлкнув по нему.
Ещё одно изображение внизу — пример более свежей спам-кампании. В письме сообщается, что оно содержит инвойс от некоей компании. В данном случае пользователя призывают открыть аттачмент в браузере. Приложенный файл выглядит безобидно и демонстрирует значок дефолтного браузера.
Исходный код HTML-файла содержит следующий код.
Данный элемент создаёт фрейм, который должен открываться в том же окне браузера. Фрейм направляет пользователя на сайт с набором эксплоитов Phoenix Exploit Kit, который пытается установить на компьютере банковский троян Cridex.
Скриншот из модуля управления Phoenix содержит реферреры с указанием, с какого сайта пришёл пользователь. Пустое поле и означает редирект из почтового клиента. Как видим, эффективность заражения таких пользователей не так уж и высока, всего 15,56%.
