Przestępcy wykorzystują zamachy w Bostonie
18.04.2013 14:43, aktual.: 18.04.2013 16:01
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Niemal zawsze, gdy na świecie dzieje się coś istotnego, co przyciąga uwagę, cyberprzestępcy próbują zachęcić nas do kliknięcia w niebezpieczne linki
Specjalistom od bezpieczeństwa IT udało się zidentyfikować dwa rodzaje wiadomości zawierających linki do złośliwego oprogramowania o różnych tytułach:
• Explosions at Boston Marathon
• 2 explosions at Boston Marathon
• BREAKING – Boston Marathon Explosions
• Aftermath to explosions at Boston Marathon
•. Video of explosion at the Boston Marathon 2013
Pierwszy rodzaj wiadomości próbuje dostarczyć szkodliwe oprogramowanie na nasz komputer w bardzo prosty sposób - przesyłając w treści wiadomości adres URL kierujący do pliku. Wszystkie adresy mają zbliżoną budowę zakończoną najczęściej /boston.html lub inną frazą bezpośrednio kojarzącą się z tragicznymi wydarzeniami sprzed dwóch dni.
Drugi rodzaj wiadomości od przestępców chcących wykorzystać medialny szum wokół ataku zawiera filmy wideo dodane do wiadomości poprzez Iframe. Pięć odnośników przeniesie czytającego wiadomość do serwisu youtube.com, natomiast szósty link zawiera kod HTML wywołujący aplet Java. Jeżeli użytkownik posiada wersje Java 7 aktualizacja 1. w tym momencie jest wystawiony na możliwość ataku.
Pozostanie na stronie i brak jakichkolwiek działań przez 6. sekund powoduję przekierowanie do strony z przykładowym adresem http://IP-adress.com/boston.avi_____exe
Jeżeli na komputerze zainstalowana jest wspomniana wersja Javy, przestępcy wykorzystują jej luki dostarczając złośliwe oprogramowanie bezpośrednio na komputer.
Specjaliści G Data wyszczególnili dwa rodzaje ataku:
- Plik o nazwie newbos3.exe infekuję komputer. • wykrada niezaszyfrowane hasła z programów Firefox lub z Filezilla. Bardzo możliwe, że szkodnik wykrada więcej zapisanych haseł jednak na obecna chwilę specjaliści G Data zidentyfikowali działanie w wymienionych aplikacjach • skanuję cały ruch sieciowy - oznacza to, że może przechwytywać wszelkie przesyłane informacje, które nie zostały zaszyfrowane • skradzione hasła i informacje są wysyłane do serwera C&C •. następnie rozsyła spam, który inicjuję proces na innych komputerach
- Kilka minut po infekcji komputer zostaje zablokowany ransomware. W tym przypadku jest to trojan tzw. wirus policyjny. • Komputer użytkownika zostaje zablokowany • Nie stwierdzono kradzieży danych i haseł •. Zainfekowany komputer rozsyła złośliwe oprogramowania dalej