„O cunoşti? UPDATE ” , mesajul pe care îl primesc utilizatorii de Yahoo! Messenger în ultima vreme este trimis de un troian care simulează dialogul cu o persoană existentă în lista de Messenger.
Trojan-IM.Win32.Agent.ae este un cal troian care simulează dialogul cu o persoană existentă în lista de Messenger a utilizatorului infectat, îndemnându-l să acceseze un anumit link. Website-ul indicat în link-ul primit direcţionează utilizatorul către un blog aparent onest, nu către un fişier executabil, care ar putea fi suspectat ca fiind malware. Odată ajuns pe blog-ul respectiv, vizitatorul este rugat să descarce un „codec” sau „plug-in” special pentru a vedea conţinutul video publicat pe acel site. Bineînţeles, fişierul descărcat nu este altceva decât un virus.
„Acesta este un exemplu al unei adevărate strategii de inginerie socială”, spune Ştefan Tănase, Senior Researcher Kaspersky Lab. „Mesajele vin de la unul dintre prietenii pe care îi avem în lista de Messenger, pe linii de text diferite, imitând perfect o conversaţie reală. Majoritatea dintre noi avem încredere în persoanele cu care interacţionăm zilnic online, de aceea nu le suspectăm că ar putea avea intenţii maliţioase. Astfel se explică şi numărul mare de accesări ale link-ului respectiv, şi cele peste 10.000 de download-uri ale falsului codec în mai puţin de 24 de ore, conform statisticilor de pe www.fisier.ro”, completează Tănase.
Kaspersky Lab a adăugat în baza de date cu semnături detecţia pentru Trojan-IM.Win32.Agent.ae, a blocat adresele URL ale blog-urilor respective, a notificat www.blogspot.com şi www.fisier.ro despre atacuri, iar în momentul de faţă niciun website utilizat de infractorii cibernetici nu mai este funcţional.
SURSA: Kaspersky