На сайте, созданном разработчиками шпионского и рекламного ПО, рекламируются достоинства наборов.
Эксперты американской компании SophosLabs обнаружили веб-сайт в России (http://www.slavsoft.ru/), предлагающий наборы шпионского ПО под названием WebAttacker стоимостью $15. На сайте, созданном разработчиками шпионского и рекламного ПО, рекламируются достоинства этих наборов и предлагается техническая поддержка покупателям. Такое ПО можно купить в онлайновом режиме,.
В состав наборов входят скрипты, разработанные для упрощения задачи инфицирования компьютеров – покупатель рассылает сообщения по адресам электронной почты и приглашает получателей посетить взломанный веб-сайт.
В образцах, обнаруженных сетью станций слежения компании Sophos, для завлечения внимания неосторожных пользователей использовались "горячие" новостные темы. Так, в одном из писем сообщалось о смертельно опасном вирусе птичьего гриппа H5N1, и давалась ссылка на подложный сайт, который будто бы содержал советы, как защитить "себя и свою семью". Другое письмо извещало, что Слободан Милошевич был убит, и приглашало пользователей посетить сайт для получения более подробной информации. Эти веб-сайты далее выполняли дистанционную загрузку вредоносного кода на ПК пользователя, используя известные уязвимости веб-обозревателя и операционной системы.
"Этот тип поведения знаменует возврат тех, кого мы называли скрипт-киддерами", – сказала К. Терио, старший консультант по вопросам безопасности компании Sophos. – "Упрощая задачу потенциальному хакеру и делая столь дешевым приобретение этих скриптов, подобные сайты будут привлекать авантюристов, не обладающих достаточными собственными знаниями, и превращать их в киберпреступников".
Код на языке JavaScript, размещенный на инфицированном веб-сайте, определяет какая версия браузера и операционной системы используется на посещающем компьютере, включая все установленные обновления систем безопасности, и запускает наиболее подходящий эксплойт (exploit) для вторжения. Далее эксплойт загружает программу, которая пытается отключить межсетевой экран и установить вредоносное ПО, обычно предназначенное для похищения паролей, регистрации клавиатурного ввода, или для проникновения в банковские системы при помощи троянской программы.
"Подпольная кибер-экономика, в некоторых отношениях, очень похожа на обычную – находятся люди, которые хотят поучаствовать в движении и получить плату за соучастие", - продолжила Терио. - "Чем больше становится кибератак, тем больше мы увидим таких сайтов, предлагающих наборы вредоносного ПО, базы данных или списки почтовых адресов, а также заказных троянских программ и шпионского ПО. И сколько времени будут на этом делаться деньги, столько времени будут существовать и заинтересованные стороны".