Зафиксирована очередная Twitter-атака, эксплуатирующая тему Японии

Зафиксирована спам-рассылка, эксплуатирующая кривость обработки ссылок в Twitter и тему Японии. Ниже приведен пример письма из этой спам-рассылки — оно выглядит как сообщение от сети Twitter (пример). Письмо выглядит как сообщение службы поддержки Twitter («Twitter Support Message») о том, что у пользователя 6 непрочитанных сообщений. Кроме того, получателю письма предлагается пройти по ссылке, которая якобы ведет на видеоролик о ситуации в Фукусиме. Как видим, ссылка хорошо спрятана.

Пройдя по ссылке, пользователь после переадресации попадает на вредоносный сайт. Для установки вредоносного кода используются эксплойты семейства Trojan-Downloader.Win32.Codecpack. После дешифровки обнаруживаются дополнительные эксплойты, используемые для заражения (пример). Java Deployment Toolkit осуществляет недостаточную проверку параметров, что делает возможным удаленное выполнение кода (Java Deployment Toolkit Performs Insufficient Validation of Parameters leading to remote code execution).

Также подгружается эксплойт уязвимости в механизме проверки обращений к Windows Help and Support Center (Help Center URL Validation Vulnerability): CVE-2010-1885, за июнь 2010 года. И уязвимости в продуктах Adobe — Adobe Reader Collab GetIcon CVE-2009-0927, Adobe Reader util.printf CVE-2008-2992, Adobe Reader newPlayer CVE-2009-4324, Adobe Reader CollectEmailInfo CVE-2007-5659.