Storm podszywa się pod newsletter serwisu CNN.com

09-08-2008, 10:27

Specjaliści zespołu CERT Polska zaobserwowali rosnącą liczbę e-maili udających newsletter serwisu CNN.com. Są to działania grupy cyberprzestępców, które mają na celu powiększenie botnetu o nazwie Storm.

Fałszywe listy noszą zazwyczaj tytuł CNN.com Daily Top 10 i zawierają dwie listy TOP 10 VIDEOS oraz TOP 10 STORIES. Autorzy wykazali się sprytem, treść e-maili na początku może nie budzić większych zastrzeżeń. Zawarte w nich odnośniki kierują do rzeczywistych wiadomości serwisu CNN.com.

Do listów dołączony jest jednak plik HTML, który – po wczytaniu przez program pocztowy – wygląda jak graficzna wersja newslettera z tą różnicą, że linki prowadzą do niebezpiecznych stron internetowych udających serwis CNN. Tytuły wiadomości są tak wymyślone, aby wzbudzić ciekawość i zachęcić ofiary do kliknięcia w odnośniki.

Przykład fałszywego listu
fot. CERT - Przykład fałszywego listu
Jeśli się wejdzie na jedną z takich stron, dostaje się komunikat, że przeglądarka nie może odtworzyć pliku wideo i aby to naprawić musi pobrać odpowiednią aplikację. Plik nazywa się zazwyczaj get_flash_update.exe (lub podobnie) i z komputera, na którym zostanie pomyślnie uruchomiony, tworzy członka botnetu Storm.

Zagrożenie rozpoznaje 10 spośród 35 skanerów antywirusowych zintegrowanych w usłudze VirusTotal.

Komunikat, który otrzymuje się po wejściu na spreparowaną stronę
fot. CERT - Komunikat, który otrzymuje się po wejściu na spreparowaną stronę
Liczba stron, które serwują złośliwe oprogramowanie, udając serwis CNN, jest coraz większa - alarmują specjaliści. Znajdują się one zazwyczaj na serwerach, na które trafiły w wyniku włamania (ich administratorzy mogą nie zdawać sobie z tego sprawy).

CERT Polska przypomina, żeby nie otwierać podejrzanych wiadomości e-mail ani ich załączników oraz zwracać uwagę, dokąd prowadzą ewentualne odnośniki. Ponieważ fałszywe strony do serwowania malware’u wykorzystują technologię JavaScript, zaleca się używać dodatków do przeglądarek internetowych, które blokują wykonywanie skryptów.


Następny artykuł » zamknij

Źródło: CERT Polska
Tematy pokrewne:  

tag zombietag zagrożeniatag Stormtag newslettertag CNNtag CERTtag botnet
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Lipiec 2019»
PoWtŚrCzwPtSbNd
1234567
891011121314
15161718192021
22232425262728
293031