Storm podszywa się pod CNN
Specjaliści zespołu CERT Polska zaobserwowali rosnącą liczbę e-maili udających newsletter serwisu CNN.com. Są to działania grupy cyberprzestępców, które mają na celu powiększenie botnetu o nazwie Storm.
Do listów dołączony jest jednak plik HTML, który - po wczytaniu przez program pocztowy - wygląda jak graficzna wersja newslettera z tą różnicą, że linki prowadzą do niebezpiecznych stron internetowych udających serwis CNN. Tytuły wiadomości są tak wymyślone, aby wzbudzić ciekawość i zachęcić ofiary do kliknięcia w odnośniki.
Jeśli się wejdzie na jedną z takich stron, dostaje się komunikat, że przeglądarka nie może odtworzyć pliku wideo i aby to naprawić musi pobrać odpowiednią aplikację. Plik nazywa się zazwyczaj get_flash_update.exe (lub podobnie) i z komputera, na którym zostanie pomyślnie uruchomiony, tworzy członka botnetu Storm.
Zagrożenie rozpoznaje 10 spośród 35 skanerów antywirusowych zintegrowanych w usłudze VirusTotal.
Komunikat, który otrzymuje się po wejściu na spreparowaną stronę
fot. CERT - Komunikat, który otrzymuje się po wejściu na spreparowaną stronę
Liczba stron, które serwują złośliwe oprogramowanie, udając serwis CNN, jest coraz większa - alarmują specjaliści. Znajdują się one zazwyczaj na serwerach, na które trafiły w wyniku włamania (ich administratorzy mogą nie zdawać sobie z tego sprawy).
CERT Polska przypomina, żeby nie otwierać podejrzanych wiadomości e-mail ani ich załączników oraz zwracać uwagę, dokąd prowadzą ewentualne odnośniki. Ponieważ fałszywe strony do serwowania malware'u wykorzystują technologię JavaScript, zaleca się używać dodatków do przeglądarek internetowych, które blokują wykonywanie skryptów.
