Computerworld News Service: Hackere distribuerer nu falske meddelelser via e-mail om ændringer i Microsofts serviceaftale.
Det sker i forsøget på at narre folk til at besøge skadelige websider, der udnytter en nyopdaget sårbarhed i Java til at inficere ofrenes computere med malware.
"Vi modtager rapporter fra forskellige kanter om en phishing-kampagne, der benytter en skabelon fra en legitim e-mail fra Microsoft angående vigtige ændringer til Microsoft-serviceaftale," advarer Russ McRee, der håndterer sikkerhedshændelser hos SANS Internet Storm Center, i et blogindlæg lørdag.
Disse falske e-mailmeddelelser er efterligninger af legitime meddelelser, som Microsoft har sendt ud til brugerne for at annoncere ændringer af selskabets serviceaftale, der træder i kraft 19. oktober.
Indeholder angrebskode
I de falske og skadelige udgaver af denne e-mail er de korrekte links dog blevet skiftet ud med links til kompromitterede websites, der indeholder angrebskode fra exploit-værktøjet Blackhole.
Blackhole er et værktøj, der bruges af datakriminelle til at gennemføre webbaserede angreb, der udnytter sårbarheder i browser-udvidelser såsom Java, Adobe Reader og Flash Player til at installere malware på computere hos ofre, der besøger kompromitterede eller skadelige websites.
Denne form for angreb er kendt som drive by-download og er meget effektiv, fordi den ikke kræver nogen brugerinteraktion.
Blackhole blev for nylig opdateret til at inkludere kode til udnyttelse af en ny sårbarhed i Java 7, der dukkede op på
nettet sidste mandag.
Installerer Zeus-variant
Linkene i de falske Microsoft-serviceaftale-meddelelser dirigerer ofrene over på Blackhole-inficerede websites, der udnytter de nye Java-sårbarheder til at installere en variant af malwaren Zeus, forklarer McRee.
Oracle udgav torsdag Java 7 Update 7 for at lukke disse nye sårbarheder.
Den skadelige Java-applet, der bruges i dette angreb, opdages kun af otte ud af 42 antivirus-engines, der er tilgængelige for filscannings-servicen VirusTotal.
Ligeledes har de fleste antivirusprodukter overordentligt svært ved at opdage denne Zeus-variant.
Læs også:
Kritisk sårbarhed i vigtig Java-opdatering fra Oracle.
Ekstremt farlig sårbarhed i Java udnyttes af hackere.
Sådan beskytter du dig imod den nye Java-sårbarhed.
Advarsel: Stort angreb mod Java er under opsejling.
Din antivirus snorksover: Blokerer ikke for Java-trussel.
Sådan kan du se, om det er phishing
Det er en meget gammel og ofte anvendt teknik at oprette skadelige udgaver af legitime e-mails fra selskaber, de fleste brugere normalt har tillid til. At den fortsat bruges tyder på, at teknikken stadig er effektiv.
"Denne e-mail er en legitim meddelelse angående opdateringer af Microsoft-serviceaftale," kommenterer en program manager for supporting mail technologies hos Microsoft, som identificerer sig selv om Karla L, som svar på en henvendelse på websitet Microsoft Answers fra en bruger angående ægtheden af denne e-mail.
Hun erkender dog senere, at der findes rapporteringer om skadelige e-mails, der anvender den samme skabelon.
"Hvis du modtager en e-mail angående ændringen af Microsoft-serviceaftale og du læser dine e-mails via Hotmail eller Outlook.com, så bør den legitime e-mail have et grønt skjold, der indikerer, at beskeden kommer fra en afsender, der er tillid til," siger hun.
"Hvis e-mail derimod ikke har et grønt sjkold, så kan du godt antage, at det er phishing-svindel."
Kig på hovedet
Hvis musen holdes over linkene i den legitime udgave af e-mailen, vil man se, at de peger på webadresser under domænet microsoft.com. Alt andet bør behandles som mistænkeligt.
Det kan også være nyttigt at undersøge e-mailhovedet nærmere efter tegn på, om e-mailen er legitim. Visse eksemplarer af denne falske e-mail er for eksempel sendt fra en IP-adresse i Kina, påpeger McRee.
Oversat af Thomas Bøndergaard
