Fałszywe powiadomienia o umowach na temat usług Microsoft, prowadzące do najnowszej exploity Java

Hakerzy rozpowszechniają fałszywe powiadomienia e-mail o zmianach w umowie serwisowej firmy Microsoft, aby skłonić ludzi do odwiedzania złośliwych stron, które wykorzystują niedawno rozpowszechniany exploit w języku Java, aby zainfekować swoje komputery złośliwym oprogramowaniem.

"My" Ponowne otrzymywanie wielu raportów z kampanii phishingowej za pomocą szablonu z legalnej wiadomości Microsoft dotyczącej ważnych zmian w umowie o usługach i preferencjach komunikacyjnych Microsoft, "Russ McRee, dział obsługi wypadków na bezpieczeństwo w SANS Internet Storm Center, powiedział w sobotę w poście na blogu.

Nieuczciwe wiadomości e-mail są kopiami uzasadnionych powiadomień wysłanych przez Microsoft do użytkowników w celu uzyskania anno wprowadź zmiany w Umowie o usługach firmy, która wejdzie w życie 19 października.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Jednak w złośliwych wersjach wiadomości e-mail prawidłowe łącza zostały zastąpione z linkami do zaatakowanych stron internetowych zawierających strony atakujące z zestawu narzędzi Blackhole.

Blackhole to narzędzie wykorzystywane przez cyberprzestępców do uruchamiania ataków opartych na sieci Web, które wykorzystują luki w wtyczkach do przeglądarek takich jak Java, Adobe Reader lub Flash Player, w celu instalować złośliwe oprogramowanie na komputerach użytkowników, którzy odwiedzają zainfekowane lub złośliwe witryny.

Ten rodzaj ataku jest znany jako pobieranie dysku i jest bardzo skuteczny, ponieważ nie wymaga interakcji ze strony użytkownika, aby osiągnąć swój cel.

Blackhole był niedawno zaktualizowany o nowy exploit dla Java 7, który pojawił się w Internecie w zeszły poniedziałek. Linki do fałszywych powiadomień o umowach Microsoft Services wskazują na witryny zainfekowane Blackhole wykorzystują nowy exploit Java do zainstalowania wariantu finansowego malware Zeusa, powiedział McRee.

Oracle wydało aktualizację Java 7 Update 7 w czwartek w celu wyeliminowania luk w zabezpieczeniach atakowany przez ten exploit.

Złośliwy aplet języka Java użyty w tym ataku jest wykrywany tylko przez osiem z 42 silników anitivirus dostępnych w usłudze skanowania plików VirusTotal. Wariant Zeusa ma podobnie niską wykrywalność.

Technika tworzenia złośliwych wersji wiarygodnych wiadomości e-mail wysyłanych przez zaufane firmy jest bardzo stara. Jednak jego ciągłe używanie przez cyberprzestępców sugeruje, że nadal jest wydajne.

"Ten e-mail jest uzasadnionym oświadczeniem dotyczącym aktualizacji Umowy usług i preferencji komunikacyjnych firmy Microsoft", menedżera programu Microsoft wspierającego technologię pocztową, która identyfikuje się jako Karla L. , powiedział na stronie Microsoft Answers w odpowiedzi na pytanie użytkownika o autentyczność wiadomości e-mail.

Jednak później potwierdziła istnienie raportów o złośliwych wiadomościach e-mail wykorzystujących ten sam szablon. "Jeśli otrzymałeś wiadomość e-mail dotyczącą aktualizacji Umowy usług Microsoft i czytasz wiadomość e-mail za pośrednictwem Hotmail lub Outlook.com, prawidłowa wiadomość e-mail powinna mieć zieloną tarczę, która wskazuje, że wiadomość pochodzi od zaufanego nadawcy" - powiedziała. "Jeśli wiadomość e-mail nie ma zielonej tarczy, możesz oznaczyć ją jako próbę wyłudzenia informacji."

Najechanie na linki w prawidłowej wersji wiadomości e-mail powinno wskazywać lokalizacje w domenie microsoft.com. Coś innego powinno być traktowane jako podejrzane.

Przeglądanie nagłówków wiadomości e-mail może również dostarczyć wskazówek, czy e-mail jest zgodny z prawem. Na przykład niektóre próbki tej fałszywej wiadomości e-mail pochodzą z adresu IP w Chinach, powiedział McRee.