G Data ostrzega przed Boston Marathon Spam

Do tej pory pracownikom G Data udało się zidentyfikować dwa rodzaje wiadomości zawierających linki do złośliwego oprogramowania o różnych tytułach:
archiwum
18.04.2013|Przeczytasz w 2 minuty
Wstępne szacunki mówią o wysokości rocznych strat, wynikających z ataków hakerów, na poziomie ponad 100 mld USD na świecie
Wstępne szacunki mówią o wysokości rocznych strat, wynikających z ataków hakerów, na poziomie ponad 100 mld USD na świecie
Uwaga na złośliwy spam!

Uwaga na złośliwy spam!

  • Explosions at Boston Marathon
  • 2 explosions at Boston Marathon
  • BREAKING – Boston Marathon Explosions
  • Aftermath to explosions at Boston Marathon
  • Video of explosion at the Boston Marathon 2013

Pierwszy rodzaj wiadomości próbuję dostarczyć malware na nasz komputer w bardzo prosty sposób – przesyłając w treści wiadomości adres URL kierujący do pliku. Wszystkie adresy mają zbliżoną budowę zakończoną najczęściej /boston.html lub inną frazą bezpośrednio kojarzącą się z tragicznymi wydarzeniami sprzed dwóch dni.

Drugi rodzaj wiadomości od przestępców chcących wykorzystać medialny szum wokół ataku zawiera filmy wideo dodane do wiadomości poprzez Iframe. Pięć odnośników przeniesie czytającego wiadomość do serwisu youtube.com, natomiast szósty link zawiera kod HTML wywołujący aplet Java. Jeżeli użytkownik posiada wersje Java 7 aktualizacja 11 w tym momencie jest wystawiony na możliwość ataku.

Pozostanie na stronie i brak jakichkolwiek działań przez 60 sekund powoduję przekierowanie do strony z przykładowym adresem http://IP-adress.com/boston.avi___________exe Jeżeli na komputerze zainstalowana jest wspomniana wersja Javy, przestępcy wykorzystują jej luki dostarczając złośliwe oprogramowanie bezpośrednio na komputer.

Specjaliści G Data wyszczególnili dwa rodzaje ataku:

  1. Plik o nazwie newbos3.exe infekuję komputer.
  • wykrada niezaszyfrowane hasła z programów Firefox lub z Filezilla. Bardzo możliwe, że szkodnik wykrada więcej zapisanych haseł jednak na obecna chwilę specjaliści G Data zidentyfikowali działanie w wymienionych aplikacjach
  • skanuję cały ruch sieciowy – oznacza to, że może przechwytywać wszelkie przesyłane informacje, które nie zostały zaszyfrowane
  • skradzione hasła i informacje są wysyłane do serwera C&C
  • następnie rozsyła spam, który inicjuję proces na innych komputerach
  • Kilka minut po infekcji komputer zostaje zablokowany ransomware. W tym przypadku jest to trojan tzw. wirus policyjny.
    • Komputer użytkownika zostaje zablokowany
    • Nie stwierdzona kradzieży danych i haseł
    • Zainfekowany komputer rozsyła złośliwe oprogramowania dalej

    G Data radzi jak się zabezpieczyć:

    • Nie klikać w linki przesyłane z nieznajomych adresów czy też od znajomych jeżeli wzbudzą nasze podejrzenia
    • Odinstaluj Java jeżeli nie jest ci niezbędna lub zablokuj jej działanie w przeglądarce
    • Aktualizuj na bieżąco swoje oprogramowanie
    Więcej:antywirusyfirewallehasłamalware
    UdostępnijTwitter