A nyugat-afrikai Ebola-járvány vezető hír a világ minden táján. A kiberbűnözők pedig ismét a szalagcímeket használták fel a gyanútlan áldozatok átverésére. A Symantec három olyan kártevő-kampányt és adathalász akciót is észlelt, amelyek az Ebola-vírust használták fel a jellemzően pszichológiai manipulációt (social engineering) alkalmazó támadásokhoz.
Az említett három támadás közül az első volt a legegyszerűbben kivitelezve: a támadók egy hamis Ebola-jelentést küldtek ki e-mailben, amely valójában a Trojan.Zbot kártevőt tartalmazta. A második támadássorozatban a kiberbűnözők a 18 országban (többek között a Közel-Keleten, Ázsiában és Afrikában) jelen lévő telekommunikációs szolgáltató, az Etisalat nevében küldtek ki hamis e-mailt, melynek szövegében azt állítják, hogy az Ebola-vírusról szóló tájékoztató prezentációt tartalmaz a csatolmány. Az “EBOLA – ETISALAT PRESENTATION.pdf.zip elnevezésű csatolt ZIP fájl viszont a Trojan.Blueso kártevőt telepítette az áldozatok számítógépére.
Érdekes módon a trójai telepítése nem a művelet végső állomása volt. A kártevőt arra tervezték, hogy a bejuttassa a W32.Spyrat férget az áldozat böngészőjébe, amely az alábbi akciókat végzi a felhasználó gépén:
-naplózza a billentyűleütéseket
-felvételt készít a webkamerával
-felvételeket készít a képernyőről
-folyamatokat indít el
-weboldalakat nyit meg
-végignézi és ki is töröl mappákat és a fájlokat
-fel- és letölt fájlokat
-információkat gyűjt a telepített alkalmazásokról, a számítógépről és az operációs rendszerről
-eltávolítja magát.
A harmadik kampány az Ebolával kapcsolatos friss híreket használja fel: az utóbbi hetekben sokat emlegették a kísérleti stádiumban lévő Zmapp nevű gyógyszert, erre utalva, a csalók e-mailben állítják, hogy megvan az Ebola-vírus ellenszere, és a felhasználót arra kérik, hogy terjesszék a hírt minél több embernek. A levél csatolmánya viszont a Backdoor.Breut nevű kártevő.
Érdemes megemlíteni azt az adathalász-támadást is, amely az Ebola-fertőzéssel és a terrorizmussal kapcsolatos rendkívüli híreket ígér a CNN nevében. Az e-mail rövid hírösszefoglalót tartalmaz, egy “eddig még nem publikált történetre” mutató linkkel. A levél ezen kívül tartalmaz egy “hogyan készüljünk fel” bekezdést és egy listát a “fenyegetett” területekről.
A levélben szereplő linkek egy weboldalra irányítják a felhasználót, ahol ki kell választania az e-mail szolgáltatóját, majd be kell írnia belépési adatait. Ha ez megtörténik, akkor a felhasználói adatok az adathalászos birtokába jutnak, majd a gyanútlan olvasókat a CNN valódi weboldalára irányítják.
A szakértők azt tanácsolják minden felhasználó számára, hogy legyenek különösen körültekintőek a kéretlen, váratlan vagy gyanús levelekkel kapcsolatban. Ha nem vagyunk teljesen biztosak az e-mail eredetiségében, akkor ne válaszoljunk rá, ne kattintsunk a linkekre és ne nyissuk meg a csatolmányokat.