Κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου άρχισαν να «χτυπούν» το inbox των χρηστών στην Ελβετία την Τρίτη, λένε οι ερευνητές, και περιέχουν μια έκδοση του τραπεζικού Trojan Tinybanker.
Ένας ερευνητής ασφάλειας αναφέρει ότι η προέλευση των μηνυμάτων αυτών είναι το spam botnet Cutwail, ένα δίκτυο μολυσμένων υπολογιστών που επιτάχθηκε για τη διανομή διαφορετικών τύπων malware.
Επίσης γνωστό ως Tinba, Illi και Zusy, το Tinybanker κέρδισε δημοτικότητα ως το μικρότερο τραπεζικό Trojan, το οποίο είναι περίπου 20KB σε μέγεθος. Ωστόσο, παρά το μικρό μέγεθός του, το κακόβουλο λογισμικό, επίσης, ξεχώρισε για τη λειτουργικότητά του, η οποία πλησίαζε αυτή των μεγαλύτερων απειλών του ίδιου είδους.
Σύμφωνα με το Abuse.ch, η έκδοση του Tinba που σήμερα διανέμεται μέσω του Cutwail δεν βασίζεται σε αλγόριθμο domain generation (DGA) για να λάβει τις διευθύνσεις των command & control servers (C&C). Αντ ‘αυτού, οι διευθύνσεις IP είναι προκαθορισμένες στον κακόβουλο λογισμικό.
Αυτή η λεπτομέρεια είναι πολύ χρήσιμη για την καταπολέμηση της απειλής, διότι, αν οι C&C servers απενεργοποιηθούν, οι κυβερνοεγκληματίες δεν θα έχουν πλέον πρόσβαση στα δεδομένα που έχουν κλαπεί από τα συστήματα που έχουν παραβιαστεί.
Αυτή τη στιγμή, δύο από τους τέσσερις C&C servers έχουν απενεργοποιηθεί και οι άλλοι κατευθύνουν προς μηχανήματα που βρίσκονται στη Ρωσία.
Τρία διαφορετικές επιθέσεις spam έχουν παρατηρηθεί από τον ερευνητή ασφάλειας, η μία προσποιείται ότι είναι από την Bluewin (κύριο πάροχο Internet στην Ελβετία), η δεύτερη παρουσιάζεται ως MMS notification που ισχυρίζεται ότι προέρχεται από την Orange (πάροχος τηλεπικοινωνιών), ενώ η τρίτη φαίνεται ως αίτηση για θέση εργασίας.
Όλη η επικοινωνία έχει δημιουργηθεί για να δελεάσει τον παραλήπτη και να ανοίξει το περιεχόμενο ενός συνημμένου αρχείου.
Το Cutwail διανέμει επίσης το τραπεζικό Trojan Dyre
Κατά την ανάλυση των διευθύνσεων IP που χρησιμοποιούνται για την αποστολή των μηνυμάτων, ο ερευνητής ανακάλυψε ότι όλες ανήκουν στους υπολογιστές του botnet Cutwail.
Νωρίτερα αυτή την εβδομάδα, η Symantec εντόπισε επίσης επιθετική δραστηριότητα που σχετίζεται με το Cutwail καθώς ερευνητές κατέγραψαν εκρήξεις αποστολής των spam που αποστέλλονται στα ενδεχόμενα θύματα.
Οι ίδιοι δήλωσαν ότι αυτές οι «εκρήξεις» διήρκεσαν μόλις λίγα λεπτά και στοχευμένοι εκατομμύρια χρήστες έλαβαν μια έκδοση ενός διαφορετικού τραπεζικού Trojan, Dyre (επίσης γνωστό ως Dyreza) ή κατευθύνονταν σε μια σελίδα phishing.
Μια ενδιαφέρουσα αλλαγή του τρόπου διεξαγωγής της επίθεσης που παρατηρήθηκε από τους ερευνητέ, ήταν ότι τα μηνύματα δεν φέρουν ένα κακόβουλο συνημμένο, όπως συμβαίνει συνήθως, αλλά, αντίθετα, περιλαμβάνουν έναν σύνδεσμο που οδηγεί στη λήψη του κακόβουλου λογισμικού.
