Computerworld News Service: Det massive angreb, der har inficeret computere ved at narre brugere til at klikke på links i meddelelser, der udgiver sig for at være fra CNN.com, viser ingen tegn på snarligt ophør, udtaler sikkerhedseksperter.
Ifølge MX Logic, toppede denne spam, der udgiver sig for at være CNN.com Top 10-lister, med næsten 11 millioner meddelelser per time torsdag i sidste uge, men forblev i højt antal i løbet af fredagen.
Sikkerhedsvirksomheden udtaler at have sporet et gennemsnit på otte millioner meddelelser per time siden midnat mellem torsdag og fredag.
MX Logics vice president for informationssikkerhed Sam Masiello kalder tendensen "en meget langsom, men stødt nedgang" siden højdepunktet om torsdagen.
Ifølge Masiello har spammen ændret sig siden udbruddet i tirsdags.
"Vi har også set adskillige mutationer af denne spam i løbet af de sidste par dage," skriver han på en MX Logic- blog fredag.
Hvor der tidligere i meddelelsernes emnefelt stod "CNN.com Daily Top 10", mens de linkede til en enkelt fil på malware-hosting sites, så står der nu i emnefeltet "CNN Alerts: My Custom Alert" og linker til en række forskellige filnavne.
"Dette er sandsynligvis en reaktion på al den medieopmærksomhed, angrebet har fået de seneste par dage," antager Masiello.
Også blog-spam
Websense rapporterede også fredag, at virksomhedens analytikere har iagttaget angrebet mutere, ikke alene med den ny emnetekst, men ligeledes ved nu at bruge ægte nyhedshistorier høstet fra CNN for at gøre meddelelserne mere overbevisende.
Brugere, der klikker på "Læs hele historien"-linket i meddelelsen bliver omdirigeret til et falsk CNN-site, hvor de afkræves at downloade en opdatering til Flash Player, Adobes populære internet-medieafspiller, for at se et videoclip fra CNN. Websense rapporterer også at have set spor af angrebet i blog-spam.
Uendelig løkke
Hvis brugere vælger at downloade den falske Flash-opdatering, fanges de i en uendelig løkke, hvor det at klikke 'Annuller' i dialogboksen blot skaber endnu en dialogboks. Klikkes der 'Annuller' her, returneres brugeren blot til den første dialogboks. De eneste valgmuligheder, der er tilbage her, er, at brugeren lukker browseren helt eller giver op og installerer malwaren.
MX Logic tilføjer, at URL-adresserne i spammen peger over på legitime domæner, der sandsynligvis er kompromitterede, og giver som eksempel et tagdækningsfirma i Storbritannien.
Tidligere i sidste uge havde den bulgarske sikkerhedsekspert, Dancho Danchev fundet mere end 1.000 kompromitterede domæner, der bliver brugt til at hoste den falske Flash-opdatering. Danchev udtaler, at han i de fleste tilfælde ikke kunne finde nogen fælles karakteristika for de hackede sites, såsom at de alle var fra den samme udbyder.
"Min formodning er, at de omhyggeligt tog sig tid til at udpege sites, som er sårbare over for fjerninkludering af filer (remote file inclusion, RFI) eller andre typer af fjernudnyttelse af sårbarheder i deres webapplikationer, som kunne lade fremmede hoste filer lokalt på serveren," udtaler Danchev.
"Det ville ikke undre mig, hvis jeg finder ud af, at de faktisk har gennemgået samtlige af de keyloggede Cpanel-kodeord, som de har anskaffet sig gennem deres botnet, eller gennem adgang til et botnet, som de midlertidigt har lejet."
Cpanel er et populært kontrolpanel-program, som før er blevet angrebet af kodeordstyve på grund af den adgang, som de kodeord giver, til sites.
Oversat af Thomas Bøndergaard
