Precyzyjny atak wykorzystywał fałszywe załączniki z wirusami

Firma Symantec ostrzega przed zainfekowanym plikiem, rozsyłanym poprzez e-mail w ostatnich tygodniach. Plik w formacie .DOC rzekomo zawiera analizę ekonomicznych konsekwencji ostatnich wydarzeń w Libii. Jest jednak prostą pułapką - infekuje komputer automatycznie po otwarciu

Pierwszy atak tego typu specjaliści Symantec odnotowali 2. lutego. Co ciekawe, ataki te miały jasno określone cele - 27 osób w sześciu organizacjach. Wiadomości e-mail zostały wysłane z czterech różnych domen. Tym razem przestępcy wzięli na celownik pracowników instytucji zaangażowanych w promocję ochrony praw człowieka, wspierające udzielanie pomocy humanitarnej, oraz ośrodki badawcze zajmujące się polityką zagraniczną i gospodarką.

- Przykład wykorzystania kryzysu libijskiego pokazuje jeden z głównych kierunków, w którym idą cyberprzestępcy - mówi Maciej Iwanicki z polskiego oddziału firmy Symantec. - Ataki są kierowane do ściśle określonych grup osób, mówimy więc o tzw. "spear phishingu". Świat cyberprzestępstw profesjonalizuje się, a złodzieje mają jasno postawione cele. Wykradanie danych można dziś porównać do kradzieży samochodów, które wykonywane są na konkretne zamówienia. Może się oczywiście zdarzyć, że użytkownik prześle dalej z pozoru interesujący materiał, nie otwierając go i w ten sposób zainfekuje również swoich znajomych - ostrzega Maciej Iwanicki.

Zidentyfikowane wiadomości wykorzystujące kryzys libijski były wysyłane z nieistniejących adresów zawierających domenę odbiorcy. Taka technika pozwalała na zdobycie wstępnego zaufania adresata, który otwierał e-mail, będąc przekonanym, że został on wysłany przez inną osobę wewnątrz organizacji. Późniejsze analizy pokazały, że wiadomości nadano z komputera o adresie IP zlokalizowanym w Rumunii. Mimo że rozszerzenie załącznika wskazuje na format .DOC, został on zapisany w rozszerzeniu .RTF i wykorzystuje lukę w zabezpieczeniach tego formatu.