|
| storm banden ny strategi miritdk har modtaget 30 point for dette tip Fra : miritdk | Vist : 848 gange
Dato : 21-08-07 15:38 |
|
Citat Storm banden skifter strategi
Banden bag Storm, som bl.a. er kendte for deres elektroniske e-kort (e-cards), som spammes ud til vilkårlige modtagere, er i øjeblikket i færd med at skifte strategi. Strategiskiftet kontrolleres centralt fra deres P2P baserede C&C netværk.
Storm gruppen skifter i øjeblikket strategi. Ikke alene ændres indholdet af deres spammails, som skal lokke brugeren til at klikke på det medfølgende link der ved besøg på webserveren, vil forsøge at plante kode på systemet via forskellige exploits. Gruppen har også ændret navnet på den binære kode som forsøges droppet og som brugeren, hvis systemet ikke er modtagelig overfor tvangsfodring igennem exploits, tilbydes at downloade ved at præsentere et link - eksempelvis:
If you do not see the Secure Login Window please install our Secure Login Applet - hvor "Applet" er et aktivt link der peger direkte på den binære fil som er tilgængelig fra webserveren. Hvis brugeren klikker på linket og trafikken ikke stoppes vil systemet blive inficeret af Peacomm/Storm malware og derved indgå som zombie i det centrale C&C netværk.
Navnet er altså skiftet fra "msdataaccess.exe" til nye filnavne som f.eks. "Applet.exe".
Indholdet af den seneste bølge af storm spammails lokker med alt lige fra logindata til netdating sider til pornografisk materiale. Et eksempel findes herunder:
Emnelinje: Login Info
Indhold:
Welcome Member,
Welcome To Resume Hunters.
Membership Number: 23726118418
Temorary Login: user2098
Temp Password ID: ex271
This Login Info will expire in 24 hours. Please Change it.
Click here to enter our secure server: http://24.1xx.144.209/
Enjoy,
Welcome Department
Resume Hunters
Andre varianter omfatter:
Me and my friend had fun with the camera you sent me. Do you like em?
My EX-boyfriend took these of me in bed. Do you think he misses me
Lonely? Me too. Look what I like to do when I get lonely.
Fælles for alle disse spammails er, at de alle inkluderer et link der peger på en IP adresse på en zombie maskine, som kontrolleres fra Storm gruppens Overnet P2P baserede netværk.
CSIS har analyseret en del af de inficerede maskiner som optræder i Storm gruppens netværk. En betydelig andel af de inficerede maskiner befinder sig i Skandinavien og da udgør en potent trussel er vi i øjeblikket i gang med at kontakte ISP'ere og virksomheder, som har zombie maskiner involveret i netværket.
Vi kan på baggrund af det forholdsvis store antal inficerede maskiner, som vi, baseret på indsamling af IP adresser fra Storm netværket, kan spore tilbage til netværk hos myndigheder og private virksomheder konkludere, at contentscanning på eksempelvis HTTP fortsat er utilstrækkelig.
Danske virksomheder og myndigheder må snarest indse, at trusselsbilledet fra e-mail baseret malware, vedhæftet som filer, er skiftet til transport over HTTP. Det gælder ikke alene den strategi der anvendes af Storm gruppen, men det generelle trusselsbillede herhjemme afslører, at HTTP, hvor brugere eksponeres for skadelig kode ved at besøge fjendtlig hjemmesider, er i markant opsving. |
kilde CSIS GROUP
| |
| Bedømmelse
Fra : bauchmann |
Dato : 21-08-07 16:01 |
| | |
| Du har følgende muligheder | |
|
Eftersom du ikke er logget ind i systemet, kan du ikke lave en bedømmelse til dette tip.
Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
| |
|
|