При помощи фальшивой персонализированной рассылки от имени крупного американского сервиса по подготовке платёжных ведомостей Online Employer фишеры распространяли троян.

При этом в фальшивых письмах использовались не только адреса пользователей Online Employer, но также их настоящие имена, их логины и даже части действующих паролей (несколько символов в открытом виде плюс несколько звёздочек, маскирующих оставшуюся часть пароля). Очевидно, столь подробная персонализация серьёзно повышала степень доверия получателей к письмам.

Каждое письмо содержало предложение закачать и установить специальный плагин для браузера, который якобы предназначен для борьбы с мошенничеством, спамом, скамом и прочими онлайн-угрозами. Далее следовало предупреждение, что доступ к сервису Online Employer без этого плагина будет невозможен после 28 сентября.

Предлагались также 4 ссылки для загрузки той или иной версии плагина для браузеров Google Chrome, Opera, Internet Explorer и Mozilla Firefox, однако все они вели в одно и то же место. Согласно данным компании PayChoice, которой принадлежит Online Employer, по этим ссылкам либо происходила непосредственная загрузка вредоносного кода, либо осуществлялся переход на сайты, расположенные на неких польских серверах, где производились попытки использовать ряд уязвимостей для загрузки такого кода.

В случае успеха на компьютеры устанавливался загрузочный троян. Причем первоначально (24 сентября) эту вредоносную программу распознавали только 5 из 41 антивирусных программ, утверждает исследователь Стива Фридла (Steve Friedl), изучавший атаку с ранних её стадий. К 29 сентября этот показатель вырос до 24 из 41.

В переписке с Брайаном Кребсом (Brian Krebs), который ведёт блог Security Fix, представитель PayChoice объяснил, что компании стало известно о взломе её онлайн-системы 23 сентября. Сайт сервиса Online Employer, который обслуживает 125 тысяч организаций, а также лицензировал свою систему по обработке платёжных ведомостей 240 другим аналогичным сервисам, был немедленно отключен. Пользователям были разосланы письма с рекомендациями сменить пароли.

В настоящий момент сервис работает, однако на главной странице висит предупреждение о том, что от имени Online Employer велась фальшивая рассылка.

Из прочих деталей атаки можно отметить следующие. Троян-загрузчик пытался отключать на целевых компьютерах антивирусные средства, после чего, как утверждают в компании Damballa, на машины устанавливался известный вредонос Zeus, он же Zbot. Zeus используется для кражи персональной информации вроде логинов и паролей к системам онлайн-банкинга.

Однако вопрос о том, каким образом в руках фишеров оказались персональные данные пользователей крупного сервиса, включая пароли (или же части паролей), пока остаётся открытым. Фридл не исключает, что на самом деле доступа к базе данных Online Employer у них не было, а был лишь тот или иной перехват реальных email-рассылок от этого сервиса клиентам, где все эти данные как раз и содержатся.

PayChoice заверяет, что расследование всё ещё проводится, для чего наняты два сторонних специалиста. Также эта компания активно сотрудничает в этом вопросе с правоохранительными органами.