fot. Kaspersky Lab - Etapy włamywania się na strony internetowe i przeprowadzania masowych wysyłek spamowych

Najpierw cyberprzestępcy włamują się do systemu zarządzającego zawartością legalnego portalu i modyfikują jego strony, dodając znaczniki, które przekierowują do witryn zawierających szkodliwe exploity. W wyniku odwiedzenia tych stron przez odbiorców spamu powstaje sieć zainfekowanych maszyn, które wypełniają polecenia wydane przez zdalne centrum kontroli.

Boty ulokowane na komputerach-zombie pobierają z internetu inne szkodliwe programy, w tym trojana kradnącego hasła do klientów FTP wykorzystywanych przy zarządzaniu zawartością stron. Hasła te mogą być następnie użyte przez cyberprzestępców w celu modyfikowania portali internetowych i umieszczenia na nich szkodliwych znaczników.

Jednocześnie pobierane są boty spamowe w celu przeprowadzania masowych wysyłek. Odsyłacze zawarte w wysyłanych wiadomościach prowadzą do spreparowanych stron na legalnych portalach, nie są więc wychwytywane przez filtry antyspamowe, które działają w oparciu o czarną listę nazw domen.

Proces ten stanowi błędne koło, które może zostać rozszerzone - cyberprzestępcy wykorzystują go w celu zapewnienia płynnego działania swojej „fabryki pieniędzy”. Szczegółową analizę, której autorami są Siergiej Golowanow, Igor Sołmenkow i Maria Garnajewa, można znaleźć w Encyklopedii Wirusów prowadzonej przez Kaspersky Lab.