Атака стартовала 29 октября, и платформа смогла ввести в ложное мнение не менее 2,5 млн клиентов. Отечественным потерпевшим прибывало извещение от клиента из их перечня контактов с подобным текстом: «это свежий аватар вашего профиля?)) http://goo.gl/f8p21?profile=имя_вашего_профиля».
В процессе атаки с помощью программ моментального размена известиями рассылаются сноски на вредное ПО.
План атаки
Когда жертва кликает по сноске goo.gl, происходит перенаправление на файлообменник Hotfile.com, где клиенту рекомендуется скачать zip-архив, имеющий вредную платформу W32.IRCBot.NG, маскирующуюся под стандартный документ. После того, как жертва распакует и пустит документ, вредная платформа ставит контакт с IRC-каналом, от которого начинает приобретать команды. В процессе следствия эксперты Symantec вели наблюдение, как вирусу было велено скачать с hotfile.com и включить еще один документ. Во всех проведённых тестах этим документом обнаруживался W32.Phopifas, но есть возможность того, что зависимо от географического расположения жертвы скачиваемое вредное ПО вполне может быть разным. Тест W32.Phopifas продемонстрировал, что опасность несет ответственность за отправку моментальных извещений не менее чем на 30 языках мира, при этом её отпечатки всегда приводят к W32.IRCBot.NG.
Так как в собственной противозаконной схеме мошенники применяют сервис уменьшения URL-адресов goo.gl, Symantec может следить за статистикой переходов по этим сноскам. На сегодняшний день специалистам удалось определять 8 различных URL-адресов, применяемых W32.Phopifas, и получить статистику посланий к каждому из них. График ниже отображает частоту посланий к каждому из адресов, и имя сопряженного с ним zip-архива с вредной платформой. Имя архива также имеет дату начала применения этой сноски в рамках оцениваемой W32.Phopifa-атаки.
Статистика переходов по сноскам мошенников
Несмотря на то что по этим цифрам трудно осуждать о количестве клиентов, которые закачали, распаковали и определили вредное ПО, эти числа демонстрируют, как чувствительны клиенты программ моментального размена известиями перед элементарными психическими ухватками.