Újabb agyafúrt támadási stratégiával álltak elő a kibertér bűnözői. Ami elsőre egy csomagküldő szolgáltatás üzenetének tűnik, könnyen kiderülhet róla, hogy egy kártevőt tartalmazó küldemény.
Amikor eljön az ünnepek ideje, a kibertér csalói újabb és újabb személyre szabott stratégiákkal állnak elő és ezernyi spam e-mailt küldenek szerteszét, amelyek csomagküldési értesítésnek tűnnek. A kapott link azonban kártékony programkódokhoz vezet.
Az e-mailek, amelyek jelenleg is keringenek a virtuális térben, hogy a címzetteket a kártevők csapdájába csalják, így vagy ehhez hasonlóan néznek ki:
A dizájn a Deutsche Post AG színösszeállításán alapul, hogy így még megbízhatóbbnak tűnjön a címzettek számára, még annak ellenére is, hogy a logó teljes mértékben hiányzik és a nyelvezete távol áll a hibátlantól. Természetesen a kapott link nem vezet el a csomag címkéjéhez, annál inkább egy kártékony kódhoz, amely rögtön le is töltődik az áldozat gépére.
Mi történik, amikor rákattintunk?
Az URL-t meglátogató személy kapni fog egy fájlt, ami egy PHP szkripttel van megtámogatva. Ha a felhasználó már kapott egy kártékony kódot az IP címére, akkor a fájl nem fog másodszor is letöltődni. A fájl neve DeutschePost_ID672146.251.zip. Ez az archívum tartalmazza a tulajdonképpeni kártevőt, amely egy végrehajtható fájl. A fájlikon egy szöveges dokumentumot fog mutatni, de valójában ez egy .exe fájl.
Milyen kártevő fertőzi meg a számítógépet?
A G Data Security Labs által elemzett esetekben: Trojan.Generic.KDZ.11929 (Engine A) / Win32:Trojan-gen (Engine B).
A text fájlnak álcázott kártevőnek számos funkciója akad:
Elsőként egy szöveges dokumentum nyílik meg, hogy elhitessék az áldozattal, hogy a ráklikkelt fájlnak valós funkciói vannak. Természetes a szolgáltatott információ csak kitaláció. Ami valóban megtörténik, az az, hogy oly módon változtatja meg a registry bejegyzéseit, hogy számítógép-újraindításnál a kártékony kód automatikusan végrehajtódjon ismét. Folyamatosan megpróbál kapcsolódni előre beállított IP címekhez, hogy onnan további információkat fogadhasson, például, hogy más kártékony fájlokat is letöltsön.
Az elemzés idején ezek az IP címek nem voltak elérhetőek. Így a kártevő nem kapott információkat és nem töltött le más fájlokat. Azonban a G Data Security Labs számára már kiderült, hogy ezekről a címekről kétséget kizáróan kártékony fájlok fognak letöltődni, amint elérhetővé válnak. A támadók így bármikor lecserélhetik az alap kártevőt egy másikra, és megváltoztathatják támadási stratégiájukat.
Hogyan védekezhetünk?
Forrás: G Data Security Blog