Po japonskem potresu zakrožila zlonamerna pošta

Kaspersky Lab

je odkril aktivnosti z neželeno elektronsko pošto, ki v zlonamerne namene izkorišča medijsko poročanje o nedavnih potresih na Japonskem. Elektronska sporočila, ki so del te kampanje, vsebujejo okuženo URL povezavo, ki ob kliku nanjo uporabnika pripelje na zlonamerno spletno stran. Na tej spletni strani se s pomočjo JAVA izkoriščevalskih orodij na uporabnikov računalnik namestijo zlonamerne aplikacije.

Kaspersky Labovi programi so omenjene izkoriščevalske aplikacije zaznali pod imeni »Downloader.Java.OpenConnection.dn« in »Downloader.Java.OpenConnection.do«, uporabniki Kaspersky Labovih rešitev pa so že zaščiteni pred temi vsebinami.

JAVA izkoriščevalska orodja gostujejo na domeni, ki je tudi sicer znana po distribuciji lažnih antivirusnih izdelkov. Za prenos in namestitev zlonamernih aplikacij je uporabljena datoteka A VBS (zaznana pod imenom Trojan-Downloader.VBS.Small.iz).

Ko je računalnik enkrat okužen, začne prikazovati lokalizirane spletne oglase. Na eno uspešno okužbo se zgodi do pet zagonov zlonamernih datotek, registracija ene storitve DLL in veliko na novo ustvarjenih zaznamkov opravil.

Poleg tega se je pojavila tudi neželena elektronska pošta, ki poziva k donacijam za Japonsko. V Kaspersky Labu so si pobližje ogledali enega o takih sporočil in odkrili sledeče podrobnosti. Neželena elektronska pošta je bila poslana iz IP naslova v Kanadi preko strežnika v Španiji. Polji »Od« in »Za« kažeta japonski email naslov in sta najverjetneje ponarejeni, medtem ko osrednje sporočilo kot prejemnika donacij poslanih preko Western Union, omenja »Sasiki Nakatawo«, zelo nenavadno, če ne celo izmišljeno ime. Nadalje sporočilo prejemnike, potencialne žrtve, prosi, da naj svoje podatke in kontrolno številko za nakazilo denarja posredujejo na email naslov v Hong Kongu. Pisava v sporočilu je nastavljena v »Windows-1251«.

V analizi neželene elektronske pošte so Kaspersky Labovi strokovnjaki ugotovili, da zlonamerne povezave vodijo do spletne strani Incognito. Kampanja pa se je pojavila tudi na Twitterju. Omenjena elektronska sporočila prekrivajo svojo pravo obliko s preobleko Twitterjevega podpornega sporočila, ki sporoča, da imate 6 neprebranih sporočil iz Twitterja. Poleg tega sporočilo oglašuje video »Inside the Fukushima’s exclusion zone«. Ob kliku na povezavo slednja preusmeri uporabnike na okuženo spletno stran Incognito, na kateri so nameščeni zlonamerni programi – različice trojanca »Trojan-Downloader.Win32.Codecpack«.

Bodite torej pozorni, ko odpirate elektronsko pošto.