Próbki spamu przechwycone niedawno przez Internet Storm Center (ISC) Instytutu SANS, mają podobny nagłówek w wierszu tematu, informujący o otrzymaniu pocztówki z pozdrowieniami. Zawarty w nich link do rzekomej pocztówki w rzeczywistości prowadzi do szkodliwego ośrodka, gdzie za pomocą JavaScript określa się czy przeglądarka ofiary ma włączony mechanizm skriptingu. Jeżeli tak, to podsyłany jest skrypt zawierający różne warianty infekowania komputera. Jeśi JavaScript jest wyłączony, użytkownik jest informowany o testowaniu nowego mechanizmu przeglądarki i zachęcany do kliknięcie na odpowiednim linku w celu sprowadzenia pliku wykonywalnego, rzekomo wyświetlającego wspomnianą pocztówkę..

Zastosowana tutaj technika szybkiego sprawdzania statusu przeglądarki jest trochę podobna do używanej w innym rodzaju ataku, wykrytym przez Symantec. Chociaż tego typu ataki używają innego rodzaju narzędzi, niemniej są też dowodem na to, iż ataki ukierunkowane na rodzaj i status przeglądarki stają są powoli powszechne.

Zobacz również:

• Sprawdzone sposoby na ochronę służbowej skrzynki pocztowej
• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie

'Zagrywka' stosowana w przypadku opisywanym przez ISC polega na wykorzystaniu trzech różnych metod: jeżeli pierwszy atak okazuje się nieskuteczny z powodu braku w zaatakowanym komputerze luki do wykorzystania, to następuje przejście do drugiej metody, a potem do trzeciej (jeżeli druga okaże się nieskuteczna). Pierwsza próba wykorzystuje lukę w QuickTime, atak drugi dotyczy popularnego narzędzia kompresji WinZip, a trzeci, nazwany przez ISC 'Hello Mary', dotyczy luki WebViewFolderIcon w Windows, dla której łatka została wydana w październiku ub.r.

ISC podaje, że kilku dostawców produktów antywirusowych wstępnie ustaliło taki złośliwy kod wykonywalny - plik oferowany tym użytkownikom, których przeglądarki mają wyłączony JavaScript - jako wariant trojana Storm, agresywnego elementu szkodliwego kodu, który może przejąć komputer w celu użycia go w sieci bot. Według informacji zamieszczonej przez ISC, kod ten przechowują komputery już zainfekowane przez Storm i atakujący ma możliwość ciągłej zmiany adresu IP wysyłając taki spam. Każdy system zainfekowany trojanem Storm może być potencjalnym 'nosicielem' tego złośliwego kodu.

Hakerzy nie rezygnują z praktyki dołączania złośliwych kodów do poczty elektronicznej, licząc na naiwność części użytkowników, którzy taki załącznik otworzą. Ale nowym trendem są hosty przechowujące i dostarczające złośliwy kod. Trudniej jest dostarczać plik z pełnym kodem złośliwym, ponieważ użytkownicy są ostrożni w otwieraniu podejrzanych plików, które są także filtrowane i blokowane przez oprogramowanie ochronne.

Nowe podejście to kod rozproszony na różnych hostach i związany z różnymi adresami IP. Nie jest to już jeden serwer, gdzie rezyduje wiele szkodliwych kodów, a wiadomość poczty elektronicznej nie ma załączników, co znacznie utrudnia wykrycie.

Niedawno Symantec w swoich "pułapkach" przechwycił podobny atak, który w ograniczony sposób wykorzystywał szerszy arsenał luk. Atak ten stosował detektor przeglądarki, który określał rodzaj przeglądarki używanej przez atakowany komputer (Internet Explorer czy Firefox) i wykorzystywał specyficzne dla tych przeglądarek luki.