Przed złośliwymi dokumentami PDF, które towarzyszą powiadomieniom wysyłanym rzekomo przez firmę Puremobile Inc., ostrzega polski zespół CERT. Otwarcie załącznika przy użyciu niezałatanego Adobe Readera powoduje zainfekowanie systemu klientem botnetu SpyEye.

O tym, że SpyEye upodobał sobie komputery polskich użytkowników, informowaliśmy w Dzienniku Internautów na początku września ub.r. Z informacji podawanych wówczas przez specjalistów z Trend Micro wynika, że jego ofiarą padło wiele funkcjonujących w naszym kraju instytucji. Cyberprzestępcy sterujący tym zagrożeniem zdołali pozyskać m.in. dane identyfikacyjne (loginy i hasła) do kont bankowych oraz informacje dotyczące kart kredytowych.

Liczbę zarażonych komputerów szacowano wtedy na 2 tys. (co akurat nie jest dużo, bo - na przykład - niesławny robak Conficker zdołał zainfekować co najmniej 6,5 mln maszyn, a zlikwidowany przed rokiem botnet Mariposa składał się z 13 mln komputerów-zombie). Teraz, w wyniku ataków, przed którymi ostrzega CERT Polska, liczba systemów dotkniętych infekcją może się zwiększyć.
Na co należy uważać?

Nadawcą szkodliwych wiadomości jest rzekomo Puremobile Inc., a ich temat brzmi „Your Order No 123456789” lub podobnie (numer zamówienia i adres nadawcy mogą się zmieniać). Przechwycone przez specjalistów e-maile były pisane po polsku (choć bez polskich znaków diakrytycznych) i angielsku. Poniżej podajemy ich treść:

Dziekujemy za zamowienie

Twoje zamowienie zostalo przyjete.
Numer zamowienia 123-123456789.
Bedziesz musial podac ten numer w korespondencji.

Wybrales opcje platnosci karta kredytowa.
Twoja karta zostanie obciazona oplata w wysokosci 1234,00 EUR.
Oplata za zamowienie bedzie opisana na wyciagu bankowym z karty kredytowej
jako "Puremobile Inc."

Ta wiadomosc nie jest dowod zakupu
Po otrzymaniu przez nas potwierdzenia tej wplaty, wyslemy Ci list zwrotny.
W zaleznosci od tego jaka forme wysylki wybierzesz otrzymasz go wprost
na swoj adres e-mail lub na adres domowy.

Thank you for ordering from Puremobile Inc.

This message is to inform you that your order has been received and is
currently being processed.

Your order reference is 123456789.
You will need this in all correspondence.
This receipt is NOT proof of purchase.
We will send a printed invoice by mail to your billing address.

You have chosen to pay by credit card.
Your card will be charged for the amount of 1234.00 USD and "Puremobile Inc."
will appear next to the charge on your statement.
Your purchase information appears below in the file.

Puremobile Inc

Nadrzędnym celem cyberprzestępców jest więc nakłonienie odbiorców do otwarcia załącznika, czego pod żadnym pozorem nie należy robić. Tym, którzy naprawdę nie mogą się oprzeć ciekawości, polecamy odwiedziny serwisu Niebezpiecznik.pl, którego autorzy opublikowali zrzut ekranu pokazujący treść zainfekowanego pliku PDF.

Do infekcji dochodzi w wyniku wykorzystania znanych od lutego dziur w oprogramowaniu Adobe Reader i Acrobat - załatanych już zresztą, dlatego użytkownikom tych aplikacji polecamy ich bezzwłoczną aktualizację. Warto wiedzieć, że złośliwy plik na razie identyfikują tylko niektóre antywirusy (7/40 wg stanu z wczoraj). W opublikowanej dziś analizie zespół CERT Polska doradza wyłączenie obsługi JavaScriptu w oprogramowaniu Adobe.
SpyEye spadkobiercą ZeuSa

O ZeuSie użytkownicy bankowości internetowej mogli słyszeć za sprawą kilku głośnych aresztowań, do których doszło w ubiegłym roku. Jedną z kobiet zaangażowanych w proceder wyłudzania danych z wykorzystaniem tego zagrożenia media okrzyknęły „najpiękniejszą cyberprzestępczynią” (w Dzienniku Internautów opublikowaliśmy jej zdjęcie).

Jak jednak na początku marca zauważył Dmitry Tarakanov z firmy Kaspersky Lab: „design” programu ZeuS został przekazany twórcy konkurencyjnego trojana o nazwie SpyEye. Teraz wszyscy czekają, aż te dwa programy spyware połączą się, tworząc prawdziwe monstrum. Autor SpyEye’a prawdopodobnie wyłuska to, co najcenniejsze w ZeuSie, i zaimplementuje to w SpyEye. W kodzie źródłowym obu zagrożeń już teraz można zauważyć pewne podobieństwa.

Nie oznacza to, że ZeuS odejdzie do lamusa. Analitycy, choć nie spodziewali się nowych modyfikacji szkodnika, to jednak na nie natrafili. Być może ZeuS stanie się mniej rozpowszechniony, bardziej ekskluzywny, dostępny już nie dla mas, ale kilku wybrańców - snuje przypuszczenia Tarakanov. Warto też pamiętać o mobilnej wersji tego zagrożenia, znanej jako ZitMo, która potrafi przechwytywać SMS-y z jednorazowymi kodami wysyłanymi przez bank do klientów.