Фальшивый e-mail, выдающий себя за сервисное письмо авиакомпании, выражает клиенту благодарность
за использование онлайновой службы заказов билетов и сообщает, что с
его кредитной карты было списано 400 долларов.
Тело
письма содержит логин и пароль пользователя, а в приложении находится
архив, который якобы содержит счет-фактуру. Истинным содержанием архива
является троянская программа.
Вся информация с инфицированного компьютера, включая
последовательность нажатия клавиш, передается на сервер, который, по
данным компании McAfee, расположен в России. McAfee идентифицировала
троянскую программу как разновидность "Spy-Agent.bw" и опубликовала на своем блоге информацию о нем. Компания Symantec использует для этой же программы другое имя – "Infostealer.Monstres".
Впервые эта троянская программа заявила о себе в прошлом году, тогда мошенникам с ее помощью удалось выманить у
посетителей сайта Monster.com более 1,6 миллиона долларов.
Вице-президент Northwest Airlines предупреждает, что e-mail
авиакомпании имеет строгий формат. Если в полученном письме наблюдаются
отклонения от знакомой клиентам формы, необходимо незамедлительно
удалить e-mail и ни в коем случае не открывать вложение. Несколько
других зарубежных авиакомпаний, таких как Delta Air Lines, Sun Country
Airlines и Midwest Airlines, также предупредили своих клиентов. Sun
Country Airlines оповестила о распространении шпионских писем почтовые
службы Yahoo и Hotmail, и организацию United States Computer Emergency
Readiness Team.
Компания McAfee сообщает, что "Spy-Agent.bw" был также
использован в спам-атаке на клиентов службы доставки United Parcel
Service, имевшей место на прошлой неделе.