Dużą kampanię rozsyłania maili z linkami do złośliwego oprogramowania zaobserwowano w czwartek. Jak podaje portal Zaufana Trzecia Strona, antywirusy jeszcze sobie nie radzą z wykrywaniem zagrożenia, więc zachowajcie ostrożność. Maile wyglądają normalnie, ich temat związany jest z przesyłką kurierską, ale w środku kryje się wirus – koń trojański Nymaim.
WSPÓLNY MIANOWNIK
Do tej pory analizowane przez techników portalu Z3S maile miały tytuły: „Twoja paczka nie zostala dostarczona, [10 cyfr]”, „Rachunek z tytulu przechowywania przesylki, [10 cyfr]”, „Twoja przesylka nie zostala dostarczona, [10 cyfr]”, ” Paczka nie zostala dostarczona, [10 cyfr]”, „Odbior akt zamowienia, [10 cyfr]”.
W każdym z tych maili znajduje się odrobinę inny link, którego kliknięcie doprowadza do pobrania złośliwego oprogramowania. Wszystkie linki prowadzą jednak do jednego adresu, https://dhl-private.com, który warto od razu zablokować w swojej sieci. Co dość rzadkie, e-maile wysyłane są faktycznie z serwerów o2.pl.
PIĘĆ CZYNNIKÓW RYZYKA
Specjaliści zachęcają, by wrzucać do kwarantanny wszystkie e-maile, których tematy kończą się przecinkiem, spacją i 10 cyframi oraz których adres nadawcy to „support_[5 cyfr]@o2.pl”. Jest też co najmniej pięć czynników ryzyka, które razem powinny zniechęcić do uruchomienia załącznika bez względu na to, jak wygląda pozostała część maila: e-mail jest „od kuriera”, brakuje danych odbiorcy w treści oraz polskich liter w temacie wiadomości, pojawia się link do Dropbox.com, a pobierany plik ma rozszerzenie, które jest nieznane dla większości użytkowników.
mk