Autorii de malware au lansat o nouă ofensivă folosindu-se de identităţile marilor companii aeriene din Statele Unite
În ultimele două săptămâni, casuţele de mail din întreaga lume au fost asaltate de campania “Cumpară Bilete de Avion Online”, care conţine mesaje oferind tichete electronice false însoţite de facturile de achiziţie presupuşilor clienţi. Cum era de aşteptat, în spatele arhivelor aparent inofensive se află o nouă încărcătură de ameninţări electronice. Cum ofertele de vacanţă pentru destinaţiile exotice sunt pe sfârşite, iar primele zile de scoală bat deja la uşă, probabil că aceeaşi autori ai valului de spam din vară s-au gândit să mai încerce o dată. Acelaşi şablon, altă campanie de distribuire în masa – însă cu alte aeronave şi o flotă de malware îmbunătăţită.
În locul identităţii „împrumutate” în toridele zile de iulie de la JetBlue Airways, mesajele din primele zile de toamnă au exploatat numele celorlalte companii aeriene americane, precum Delta Air Lines, Virgin America, United Airlines, Continental Airlines, dar şi mai puţin cunoscutele Southwest Airlines, Northwest Airlines, Midwest Airlines, precum şi alţi operatori în ale caror denumiri apar pomenite punctele cardinale. În plus, atenţie şi la celelalte mesaje aparent trimise de operatori cu nume mai exotice, precum Sun Country Airlines, Spirit Airlines, Allegiant Air, Frontier Airlines, AirTran Airlines, Hawaiian Airlines sau Alaska Airlines.
Printre specimenele de malware din colecţia toamnă-iarnă, s-au remarcat deja consacraţii Trojan.Spy.Zbot.KJ şi Trojan.Spy.Wsnpoem.HA, dar şi aspirantul la un loc fruntaş în clasamentele noastre, Trojan.Injector.CH.
Toţi aceştia au componente rootkit care ajută la instalarea şi ascunderea lor în sistemul compromis, fie în directorul Windows, fie în Program Files. Aceştia injectează cod într-o serie de procese şi modifică parametrii firewall-ului Microsoft® Windows®, oferind funcţionalităţi de server şi backdoor. Troienii din această campanie distribuie informaţii confidenţiale şi „ascultă" mai multe porturi pentru a primi posibile comenzi de la un atacator aflat la distanţă. În plus, ei încearcă să se conecteze şi să descarce fişiere de pe servere ale căror domenii se presupune că sunt înregistrate în Federaţia Rusă.
“Utilizatorii ar trebui să conştientizeze că fără o soluţie de securitate adecvată, integritatea sistemelor lor poate fi grav afectată. Troienii folosiţi în această nouă campanie de distribuţie şi rata sporită de infectări dovedesc încă o dată nu doar creativitatea de care cyber-criminalii sunt capabili, dar şi lipsa de interes a utilizatorilor în materie de protecţie a sistemelor şi a informaţiilor personale”, a declarat Sorin Dudea, Şeful Diviziei de Analiză şi Cercetare Malware din cadrul Laboratoarelor AntiMalware, BitDefender.
{mosloadposition user10}