Dwa świeże ataki phishingu - jeden skierowany do klientów banku Barclays, a drugi do właścicieli kont Bank of Scotland, jak się okazało, wyprowadzone zostały z domen powiązanych ze znanymi kampaniami mającymi na celu zbudowanie botnetu komputerów zainfekowanych Stormem.

Jedną z pierwszych firm, która potwierdziła, że atak na Barclays pochodzi z maszyn kontrolowanych przez Storm, jest Fortinet. Specjaliści tej firmy zauważają, że phishing pochodząca z nieustannie zmieniających się domen Storm jest używany od połowy roku 2007.

Po zamknięciu przez rejestr domen webowych domeny użytej w phishingu na Barcalays, botnet przełączył domeny i zaczął wysyłać wiadomości phishingu do oddziału Bank of Scotland. Tak jak w pierwszej kampanii, zachęcano odbiorców, sztuczką socjotechniczną, do podania nazwy konta i hasła.

Fińska firma F-Secure połączyła jeden z adresów IP użytych w ataku na Bank Of Scotland z domeną wcześniej używana prze botnet Storm m.in. do wysyłania spamu zawierającego link do postcard2008.com. Oznacza to, że zainfekowane maszyny kontrolowane przez Storm są używane teraz w kampanii phishingu.

Niektórzy specjaliści uważają, że cześć botnetu Storm została wynajęta prze phisherów. Jednak Joe Stewart z Secure Works, zajmujący się Stormem od chwili jego zidentyfikowania, uważa, iż nie ma dowodów na to, że sieć została wynajęta. W październiku ub.r. Stewart podał, że do trojana Storm dołączono szyfrowanie ruchu przenoszącego komendy i sterowanie, co mogło oznaczać poszukiwanie sposobów rozdzielania armii zombie, przygotowujące możliwość wynajmu poszczególnych części sieci cybeprzestępcom. Jednak Stewart twierdzi, iż nie znalazł dodatkowych kluczy szyfrujących używanych przez Storm, które mogłyby wskazywać, że taki podział sieci nastąpił.

Trojan Storm został zidentyfikowany rok temu (17 stycznia 2007) i do tej pory ciągle ewoluuje namawiając ludzi w całej Europie do otwierania załączników w wysyłanej poczcie elektronicznej.