Cyberprzestępcy chcą okraść pasażerów US Airways
Firma Kaspersky wykryła kampanię spamową, której celem są pasażerowie linii lotniczych US Airways. Odbiorcy sfałszowanej wiadomości e-mail, którzy klikną znajdujący się w niej odsyłacz, są przekierowywani na stronę zawierającą wiele szkodliwych programów, w tym trojana ZeuS służącego do kradzieży danych dotyczących bankowości online.
Adresaci wysyłki przygotowanej przez cyberprzestępców otrzymali wiadomość o temacie "US Airways online check-in", zawierającą krótki opis procedury odprawy oraz numer potwierdzenia rezerwacji online. Cyberprzestępcy najwyraźniej liczą na to, że odbiorcy wiadomości, którzy rzeczywiście lecą wspomnianym lotem, klikną odsyłacz "Online reservation details" (szczegóły dotyczące rezerwacji online).
E-maile wysyłane w ramach akcji spamowej zawierały różne odsyłacze, jednak wszystkie kierowały (czasem po serii operacji wykonywanych niezauważalnie dla użytkownika) na stronę zawierającą zestaw szkodliwych programów wykorzystujących rozmaite luki w zabezpieczeniach systemów operacyjnych i aplikacji takich jak Java, Flash Player czy Adobe Reader (tzw. zestaw BlackHole Exploit Kit). Efektem kliknięcia była infekcja komputera szkodnikiem, który następnie pobierał kolejne zagrożenia, z trojanem ZeuS na czele.
Cyberprzestępcy postarali się, by ich praca przynosiła dochody tak długo jak to możliwe i co 12 godzin zmieniali wszystkie domeny wykorzystywane do atakowania użytkowników. Wersje szkodliwych programów oraz odsyłacze także były regularnie modyfikowane, aby wykrywanie zagrożeń było maksymalnie utrudnione.
Geografia ataku
"Chociaż nie jest to pierwszy przypadek wykorzystywania wizerunku linii lotniczych przez cyberprzestępców, nie mieliśmy jeszcze do czynienia z tak złożonym atakiem tego typu. Jeżeli odbiorcy omawianej wiadomości spamowej rzeczywiście zarezerwowali bilety linii Airways, prawdopodobieństwo kliknięcia przez nich zawartego w wiadomości odsyłacza znacznie wzrastało" - tłumaczy Dmitrij Tarakanow, ekspert z Kaspersky Lab.
W czasie ataku wysyłane były również inne wiadomości spamowe, które zawierały odsyłacze prowadzące do tych samych domen i szkodliwych programów. Z analizy przeprowadzonej przez ekspertów wynika, że zagrożenia, które w ten czy inny sposób były związane z atakiem, pojawiały się najczęściej w: Rosji, Stanach Zjednoczonych, Włoszech, Niemczech, Indiach, Francji, Ukrainie, Polsce, Brazylii, Malezji, Hiszpanii oraz Chinach.