Od 26 czerwca wielu internautów otrzymało fałszywe powiadomienia o nowym zamówieniu, które zostało rzekomo wysłane przez jedną z najbardziej znanych firm z sektora e-commerce. Treść napisanej po angielsku wiadomości zawsze była taka sama, zmieniały się tylko data i numer zamówienia:

Hi, Thank you for your order. We’ll let you know once your item(s) have dispatched. You can view the status of your order or make changes to it by visiting Your Orders on Amazon.com.

Forma graficzna e-maila odpowiadała tej używanej przez Amazon, a dołączone do niego archiwum ZIP - zamiast faktury - zawierało złośliwy plik wykonywalny, identyfikowany przez programy antywirusowe jako BackDoor.Tishop.122 (twórcy tego zagrożenia nadali mu nazwę Smoke Loader).

Po uruchomieniu się szkodnik skanuje środowisko pod kątem obecności sandboxa lub maszyny wirtualnej, kopiuje siebie do folderu na dysku twardym, dodaje wpis do sekcji autorun w rejestrze Windows i „wstrzykuje” swój kod do wielu procesów systemowych. Jeśli maszyna jest podłączona do internetu, BackDoor.Tishop.122 próbuje pobrać inne złośliwe programy i uruchomić je na zainfekowanym komputerze.

- Nie należy otwierać załączników z e-maili od nieznanych nadawców oraz dokumentów zawierających informacje o zamówieniu w sytuacji, kiedy nie korzystaliśmy z usług danego sklepu internetowego. Takie wiadomości powinny być kasowane natychmiast po ich odebraniu - zaleca Joanna Schulz-Torój z firmy Doctor Web.

Czytaj także: Klienci PKO BP znów na celowniku cyberprzestępców