I en mail fra TDC står følgende
Sværm af nye spamruns
Der er flere farlige mails, der er landet i de danske indbakker over weekenden.
Af Stina Christiansen - 11. januar 2010 kl. 11:04
Weekenden har budt på talrige spamruns med både skadelige vedhæftede filer og indlejrede links. Der er brugt mange forskellige temaer, som skal lokke uforsigtige brugere til at åbne filen eller klikke på linket.
De mange spammails udspringer hovedsagligt fra det BOTnet, der kendes som Avalanche/Rock.
Det primære formål med de mange spammails er at inficere brugere med informationstyven 'Zbot', men også tyven 'Bredolab' er blevet distribueret i weekenden i et stort antal.
Eksempel på spamrun
Herunder har sikkerhedsfirmaet CSIS samlet nogle eksempler på weekendens mange spamruns.
Emne: new settings file for [%modtager adressen%]
Indhold:
"The default settings of your mailbox were automatically changed. Please download and launch a file with a new set of settings for your e-mail account:
fx-settings-file.exe.
[link peger på [%fastr flux domæne%]/owa/service_directory/settings.php?email=[%modtager e-mail adresse%]&from=[%domæne%]&fromname=[%modtager navn%]
We constantly work on the quality level of our service, as well as on the development of its security and protection. During the last upgrade several essential improvements were adopted, such as new ports for the POP3 & SMTP protocols, plus the SMTP autentification. The new settings are necessary for those who use the mailings clients (for ex. Microsoft Outlook, The Bat!, Mozilla Thunderbird etc.) or those who use our service via the web-interface."
Indholdet kan variere, men handler om din mailkonto og ting, du skal foretage dig i forbindelse med den. Vær yderst mistænksom, når nogen beder dig gøre noget i forhold til din mailkonto. Det er meget sjældent, at du får mails fra din danske mailudbyder på engelsk. Husk det.
Den skadelige kode er designet til at ringe hjem til en server, hvorfra den automatisk henter supplerende komponenter og en krypteret skabelon, som indeholder de mål, der skal stjæles data fra og foretages MiTB (Man in The Browser) baserede angreb imod. Listen består primært af online netbank-systemer.
De domæner der misbruges i denne kampagne omfatter (mellemrum indlagt af CSIS):
http://nek ovo.ru/cbd/nekovo.bri
http://nek ovo.ru/kissme/rec.php
http://74.12 5.67.100/webhp
http://stoma id.ru/abs.exe
http://nekov o.ru/ip.php
Udvis forsigtighed med ovenstående adresser.
IRS Employers W-2 Forms
Et andet spamrun, som også blev skudt i gang i weekenden, anvender et særligt udformet PDF-dokument.
Det skadelige dokument bliver ikke opdaget af ret mange antivirus-produkter og vil ved kørsel på sårbare systemer forbinde til en C&C server, hvorfra den henter flere skadelige programmer. Den omgår med med en særlig connect back forbindelse de fleste firma firewalls og muliggør fjernstyring af systemer.
Den ankommer med emnelinjen 'IRS Employers W-2 forms' og med den medfølger en .doc fil, lavet i Microsoft Word, som har indlejret et PDF-dokument.
Den skadelig payload er en PoisonIVY variant, som kan anvendes til informationstyveri. DOC/PDF dokumentetet fanges af meget få antivirusprogrammer.
Forhåbentlig får titlen på dokumentet ikke ret mange danskere til at klikke.
Spear phishing
CSIS har endvidere set forsøg på spear phishing angreb, hvor modtagere skal lokkes til at klikke på en URL (mellemrum indlagt af CSIS):
85.10.2 43.125/bbh/pdf.php. Den pågældende URL udnytter tre forskellige sårbarheder i Adobe Acrobat/Reader herunder en 0-dags sårbarhed som forventes fixet i morgen med en ny version af den populære PDF læser.
Kilde: CSIS Security Group