Компания ESET, являющаяся ведущим международным разработчиком антивирусного ПО и экспертом в области киберпреступности, сообщила, что ее эксперты обнаружили спам, «зарабатывающий» на Бостонской трагедии, распространяя вредоносную программу Win32/Kelihos.
В фишинговых письмах, которые были разосланы злоумышленниками, содержится ссылка на видеоролик, где запечатлен взрыв во время марафона в Бостоне. Перейдя по ссылке, пользователь попадает на страницу с видеороликом, но на той же странице находится и вредоносный элемент, который перенаправляет пользователя на набор эксплойтов Redkit. При помощи данного набора на пользовательский ПК устанавливается вредоносная программа, детектируемая решениями ESET как Win32/Kelihos. Данный тип атаки назван drive-by installation (в переводе «скрытая установка»).
Для инсталляции вируса через набор эксплойтов применяются незакрытые уязвимости в установленном ПО или в самой ОС. Вредоносное ПО похищает персональные данные пользователя — логины и пароли, почтовые адреса и содержимое кошелька Bitcoin, после чего пересылает злоумышленникам. Также, Kelihos объединяет скомпрометированные компьютеры в ботнет. Эксперты компании обнаружили, что для увеличения количества зараженных пользователей злоумышленники переориентировали ботнет на рассылку спама о взрыве в Бостоне.
Данный инцидент — далеко не единственный пример эксплуатации бостонской трагедии мошенниками. Сразу после взрыва появился Twitter-аккаунт, якобы от имени организаторов марафона. Было заявлено, что за каждый ретвит пострадавшим будет переводиться $1. Прежде чем администрация Твиттера удалила аккаунт, злоумышленники успели собрать более 50 тысяч ретвитов.
