Storm rozprzestrzenia się za pośrednictwem witryn z GeoCities

Trojan Storm pojawił się w nowym wcieleniu, przekonując nieświadomych użytkowników do ściągania fałszywych kodeków.

Według specjalistów Trend Micro w ataki zamieszani są starzy klienci Russian Business Network (RBN), sieci, która w tajemniczych okolicznościach znikła z Internetu w ubiegłym tygodniu po przeniesieniu swoich operacji z Petersburga do Szanghaju.

Obecnie specjaliści Trend Micro zaobserwowali, że istniejące boty kontrolowane przez Storm rozprzestrzeniają nowy wzorzec spamu, który zawiera łącznik do witryn hostowanych na GeoCites, bezpłatnej usługi hostingu Yahoo.

Witryny hostowane na GeoCities są infekowane złośliwym kodem JavaScript, który przekierowuje przeglądarkę użytkownika na stronę serwera webowego zlokalizowanego w Turcji. Po tym adresem użytkownik zachęcany jest do sprowadzenia nowego kodu, który jest podobno niezbędny do oglądania obrazków w ośrodkach GeoCities. Według analiz przeprowadzonych przez Trend Micro, ten fałszywy kod jest w rzeczywistości kodem złośliwym, służącym do kradzieży tożsamości.

Podrabiane kodeki to najnowsza sztuczka napastników - kilka głośnych ostatnio ataków wykorzystywało brak wiedzy użytkowników na temat kodeków: do czego są one niezbędne i dlaczego należy z duża rezerwą podchodzić do zachęt ich sprowadzenia z nieznanej lokalizacji. Ataki sprzed dwóch tygodni, związane m.in. ze stronami MySpace, zachęcały np. do pobierania kodeków dla telefonów komórkowych.

To, że nowy Storm przeorientował się na kodeki świadczy o tym, iż botnety przez niego stworzone są elastyczne i szybkie w swoim podejściu do socjotechniki.

Storm stał się czymś więcej niż tylko nazwą rodziny kodów złośliwych. Teraz można go uznać za ukryty kanał dystrybucji kodów złośliwych. Jest to w istocie sieć komunikacyjna do przesyłania różnej formy informacji, w zależności od potrzeb jej właścicieli: spamu "pompującego" notowania giełdowe, czy elementów kodów złośliwych.


TOP 200