Τα νέα για την επιδημία του ιού Έμπολα στη Δυτική Αφρική έχουν απασχολήσει όλα τα ειδησεογραφικά μέσα παγκοσμίως και οι εγκληματίες του κυβερνοχώρου για ακόμα μία φορά χρησιμοποιούν τους πιο πρόσφατους τίτλους ειδήσεων για να δελεάσουν τα θύματα τους. Η Symantec έχει εντοπίσει τρεις περιπτώσεις malware και μία εκστρατεία phishing, τα οποία χρησιμοποιούν τον ιό Έμπολα ως θέμα.

 

 

 

Malware και phishing εκστρατείες

Η πρώτη εκστρατεία είναι αρκετά απλή. Οι επιτιθέμενοι στέλνουν ένα email, το οποίο περιέχει μία ψεύτικη αναφορά στον ιό Έμπολα για να προσελκύσουν τα θύματα και αυτό που στην πραγματικότητα λαμβάνουν οι χρήστες είναι μόλυνση από το Trojan.Zbot malware.

Στην δεύτερη εκστρατεία, οι κυβερνοεγκληματίες στέλνουν emails όπου παρουσιάζονται ως την εταιρεία Etisalat, ένα φορέα παροχής τηλεπικοινωνιακών υπηρεσιών στα Ηνωμένα Αραβικά Εμιράτα με παρουσία σε 18 χώρες σε όλη την Μέση Ανατολή, την Ασία και την Αφρική. Στο αρχείο zip που επισυνάπτεται με τίτλο: “EBOLA – ETISALAT PRESENTATION.pdf.zip” περιέχεται στην πραγματικότητα, το Trojan.Blueso,  το οποίο και μολύνει τον υπολογιστή του θύματος.

Παρουσιάζει ενδιαφέρον το γεγονός ότι το Trojan που εκτελείται δεν είναι το τελικό  payload.Το malware είναι επίσης κατασκευασμένο έτσι ώστε να εισάγει το W32.Spyrat στο Web browser του θύματος και να επιτρέπει στους επιτιθέμενους να εκτελούν τις παρακάτω ενέργειες:

  • Log key strokes
  • Εγγραφή από Web κάμερα
  • Λήψη Screenshots
  • Δημιουργία διαδικασιών
  • Πρόσβαση σε ιστοσελίδες
  • Απαρίθμηση αρχείων και φακέλων
  • Διαγραφή αρχείων και φακέλων
  • Λήψη και αποστολή αρχείων
  • Συγκέντρωση πληροφοριών από τις εγκατεστημένες εφαρμογές, τον υπολογιστή και το Λειτουργικό Σύστημα
  • Απεγκατάσταση του ιού

Η τρίτη εκστρατεία μεταφέρει ορισμένες νέες ειδήσεις για τον ιό Έμπολα. Τις τελευταίες δύο εβδομάδες έχει συζητηθεί το Zmapp, ένα πολλά υποσχόμενο φάρμακο για το ιό Έμπολα, το οποίο βρίσκεται ακόμα σε πειραματικό στάδιο. Οι επιτιθέμενοι εξαπατούν τα θύματα τους με ένα email, στο οποίο ισχυρίζονται ότι ο ιός Έμπολα έχει θεραπευτεί και το νέο πρέπει να διαδοθεί ευρέως. Στο email επισυνάπτεται το malware Backdoor.Breut

 

 Σχήμα 1. Το email για τον ιό  Έμπολα χρησιμοποιεί το Trojan.Blueso