Многие люди мыслят в таких категориях, как в заголовке. И я в их числе, считаю, что ставить антивирус на Мак — это ересь. И тут одна такая история…
Получаю несколько дней назад вот такое письмо:
Добрый день,
коллекторское агентство Сентинел Кредит Менеджмент напоминает вам о необходимости срочного погашения вашего долга до 2.03.2017.
В случае невозврата долга будет произведена процедура ареста с последующим изъятием имущества должника.
Подробную информацию о судебном решении по вашей задолженности и договор уступки имущественных прав нашей организации вы найдёте в документе: http://sentinelcredit.ru/documents/2017/02/8b8894c499…
С наилучшими пожеланиями,
ООО Сентинел Кредит Менеджмент.Это письмо было сформировано автоматически, отвечать на него не нужно.
По любым вопросам вы можете обращаться по телефону горячей линии 8 800 289 47 25 (звонок бесплатный) либо через форму обратной связи на сайте http://www.sentinelcredit.ru.
Первую ссылку я намеренно сделал некликабельной, поскольку под ней лежало нечто, ведущее, не на сайт Сентинела… а на сторонний хост — rhinomerida.com. При этом, сайт донор вполне адекватный. Первое же предположение — похоже на то, что сайт взломали и положили туда зловредный скрипт.
Перехожу по ссылке в письме. Браузер скачивает файл с расширением *.doc.js — типа нормальный документ, а на деле — исполняемый скрипт. Внутри вот такая картина:
Ищу JS-овые функции и нахожу разве что четыре блока с eval().
Ставлю брекйпоинты, запускаю, смотрю выхлоп. Оказывается, требуется ActiveX компонент, которого нет на Маке 🙂
А на Винде эта ересь могла бы пойти в бой. Что там было до конца не раскопал. Искать финальные координаты и что там собирает скрипт в итоге я отложил, ибо профит от этого — только обучение, а нам еще кодить и кодить нашу Авенду…