Τα νέα για την επιδημία του ιού Έμπολα στη Δυτική Αφρική, έχουν απασχολήσει όλα τα ειδησεογραφικά μέσα παγκοσμίως. Οι εγκληματίες του κυβερνοχώρου για ακόμα μία φορά χρησιμοποιούν τους πιο πρόσφατους τίτλους ειδήσεων για να δελεάσουν τα θύματα τους. Η Symantec έχει εντοπίσει τρεις περιπτώσεις malware και μία εκστρατεία phishing, τα οποία χρησιμοποιούν τον ιό Έμπολα ως θέμα.
Malware και phishing εκστρατείες
Η πρώτη εκστρατεία είναι αρκετά απλή. Οι επιτιθέμενοι στέλνουν ένα email, το οποίο περιέχει μία ψεύτικη αναφορά στον ιό Έμπολα, για να προσελκύσουν τα θύματα και αυτό που λαμβάνουν οι χρήστες στην πραγματικότητα, είναι μόλυνση από το «Trojan.Zbot» κακόβουλο λογισμικό (malware).
Στην δεύτερη εκστρατεία, οι κυβερνο-εγκληματίες στέλνουν πλήθος email όπου παρουσιάζονται ως την εταιρεία Etisalat, ένα φορέα παροχής τηλεπικοινωνιακών υπηρεσιών στα Ηνωμένα Αραβικά Εμιράτα με παρουσία σε 18 χώρες σε όλη την Μέση Ανατολή, την Ασία και την Αφρική. Στο αρχείο συμπιεσμένο αρχείο (zip) που επισυνάπτεται με τίτλο: «EBOLA – ETISALAT PRESENTATION.pdf.zip» περιέχεται στην πραγματικότητα, το «Trojan.Blueso» όπου μολύνει τον υπολογιστή του θύματος.
Το email για τον ιό Έμπολα χρησιμοποιεί το Trojan.Blueso
Παρουσιάζει ενδιαφέρον το γεγονός ό,τι το Trojan που εκτελείται, δεν είναι το τελικό αποτέλεσμα της μόλυνσης (payload). Το malware είναι επίσης, κατασκευασμένο έτσι ώστε να εισάγει το «W32.Spyrat» στον πλοηγό Διαδικτύου (web browse) του θύματος και να επιτρέπει στους επιτιθέμενους να εκτελούν τις παρακάτω ενέργειες:
• Καταγραφή πληκτρολόγησης (Log key strokes)
• Εγγραφή από Web κάμερα
• Λήψη Φωτογραφιών Οθόνης (screenshot)
• Δημιουργία διαδικασιών
• Πρόσβαση σε ιστοσελίδες
• Απαρίθμηση αρχείων και φακέλων
• Διαγραφή αρχείων και φακέλων
• Λήψη και αποστολή αρχείων
• Συγκέντρωση πληροφοριών από τις εγκατεστημένες εφαρμογές, τον υπολογιστή και το Λειτουργικό Σύστημα
• Απεγκατάσταση του ιού
Η τρίτη εκστρατεία μεταφέρει ορισμένες νέες ειδήσεις για τον ιό Έμπολα. Τις τελευταίες δύο εβδομάδες έχει συζητηθεί το «Zmapp», ένα πολλά υποσχόμενο φάρμακο για το ιό Έμπολα, το οποίο βρίσκεται ακόμα σε πειραματικό στάδιο. Οι επιτιθέμενοι εξαπατούν τα θύματα τους με ένα email, στο οποίο ισχυρίζονται ότι ο ιός Έμπολα έχει θεραπευτεί και το νέο πρέπει να διαδοθεί ευρέως. Στο email επισυνάπτεται το malware «Backdoor.Breut».
Κακόβουλο email προσελκύει τους χρήστες ισχυριζόμενο ότι ο ιός Έμπολα έχει αντιμετωπιστεί
Τέλος, μία phishing καμπάνια υποδυόμενη την ιστοσελίδα CNN, όπου δίνει σημαντικές ειδήσεις για τον ιό Έμπολα (περιέχει και ειδήσεις σχετικά με την τρομοκρατία), στην οποία παρουσιάζεται μία περίληψη και περιλαμβάνονται links για την πλήρη ιστορία. Το email υπόσχεται επίσης, να προτείνει μέτρα προφύλαξης καθώς και μία λίστα με τις περιοχές που έχουν μπει στο «στόχαστρο» της ασθένειας.
Η εκστρατεία Phishing χρησιμοποιεί το CNN ως δόλωμα
Εάν ο χρήστης κάνει κλικ στα links που περιέχει το email μεταβαίνει σε μία ιστοσελίδα, στην οποία του ζητείται να επιλέξει την υπηρεσία παροχής email και στην συνέχεια να εισάγει τα login credential. Εφόσον ο χρήστης πραγματοποιήσει αυτή την διαδικασία, τα login credential του email θα σταλούν αυτόματα στους phisher. Έπειτα το θύμα μεταβαίνει στην αρχική σελίδα του CNN.
Οι Phisher παραβιάζουν τις πληροφορίες login μέσω πλαστών σελίδων login
Η Symantec συμβουλεύει όλους τους χρήστες να βρίσκονται σε επιφυλακή για ανεπιθύμητα, ή ύποπτα emails. Εάν δεν είστε βέβαιοι για την νομιμότητα του email, τότε μην απαντήσετε σε αυτό και αποφύγετε να κάνετε κλικ σε συνδέσμους Διαδικτύου (link) που βρίσκονται στο μήνυμα ή να ανοίξετε τα επισυναπτόμενα αρχεία.
