Storm podszywa się pod CNN
Specjaliści zespołu CERT Polska zaobserwowali rosnącą liczbę e-maili udających newsletter serwisu CNN.com. Są to działania grupy cyberprzestępców, które mają na celu powiększenie botnetu o nazwie Storm.
Fałszywe listy noszą zazwyczaj tytuł CNN.com Daily Top 10 i zawierają dwie listy TOP 10 VIDEOS oraz TOP 10 STORIES. Autorzy wykazali się sprytem, treść e-maili na początku może nie budzić większych zastrzeżeń. Zawarte w nich odnośniki kierują do rzeczywistych wiadomości serwisu CNN.com.
Do listów dołączony jest jednak plik HTML, który - po wczytaniu przez program pocztowy - wygląda jak graficzna wersja newslettera z tą różnicą, że linki prowadzą do niebezpiecznych stron internetowych udających serwis CNN. Tytuły wiadomości są tak wymyślone, aby wzbudzić ciekawość i zachęcić ofiary do kliknięcia w odnośniki.
Jeśli się wejdzie na jedną z takich stron, dostaje się komunikat, że przeglądarka nie może odtworzyć pliku wideo i aby to naprawić musi pobrać odpowiednią aplikację. Plik nazywa się zazwyczaj get_flash_update.exe (lub podobnie) i z komputera, na którym zostanie pomyślnie uruchomiony, tworzy członka botnetu Storm.
Zagrożenie rozpoznaje 10 spośród 35 skanerów antywirusowych zintegrowanych w usłudze VirusTotal.
Komunikat, który otrzymuje się po wejściu na spreparowaną stronę
fot. CERT - Komunikat, który otrzymuje się po wejściu na spreparowaną stronę
Liczba stron, które serwują złośliwe oprogramowanie, udając serwis CNN, jest coraz większa - alarmują specjaliści. Znajdują się one zazwyczaj na serwerach, na które trafiły w wyniku włamania (ich administratorzy mogą nie zdawać sobie z tego sprawy).
CERT Polska przypomina, żeby nie otwierać podejrzanych wiadomości e-mail ani ich załączników oraz zwracać uwagę, dokąd prowadzą ewentualne odnośniki. Ponieważ fałszywe strony do serwowania malware'u wykorzystują technologię JavaScript, zaleca się używać dodatków do przeglądarek internetowych, które blokują wykonywanie skryptów.