Pas op voor varkensgriepspam

Artwork: Chip TaylorSwine-griep spam verspreidt zich als een eigen virus en is recent kwaadaardig geworden.

Spam-campagnes beginnen vaak met onschadelijke e-mailberichten en worden langzaam uitgebreid naar ernstiger bedreigingen, volgens Stephan Chenette, manager beveiligingsonderzoek bij Websense Inc.

"Spammers zijn over het algemeen goed met elkaar verbonden en zien hoe goed het werkt. Het gaat altijd door in de testfase," zei hij.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Ze testen campagnes met minder bedreigende benaderingen, delen feedback tussen elkaar, bepalen wat werkt en wat niet en lanceren dan steeds schadelijkere aanvallen, legde hij uit. "

" Door ons te laten zien dat het aantal e-mails rondom de varkensgriep is toegenomen, geeft dit aan dat het tot nu toe een zeer succesvolle campagne is geweest, "zei hij.

Websense volgt deze nieuwste trend, die de afgelopen week is gegroeid, volgens Chenette is het aantal e-mailberichten met onderwerpregels in verband met de Mexicaanse griep tienduizenden.

De trend begon met traditionele medische spam - of medspam - dat hoefde niet per se gebruikers te bedriegen, zei hij. "Ze verleidden de gebruikers door ze bang te maken, maar er waren geen kwaadwillige bijlagen."

Daarna evolueerde de spam naar geldschieters, waarbij spammers probeerden verkopen farmaceutische producten, medische apparaten en PDF's die generieke informatie over de varkensgriep voor $ 20 tot $ 30 bevatten, verklaarde hij.

"Medspam is altijd iets geweest dat spammers hebben gebruikt om geld te verdienen en het feit dat er een griepachtig symptoom is dat stelt hen in staat om hun verhaal op een meer overtuigende manier te verkopen waar ze goed in zijn geweest spammers, "zei hij. "

De eerste Mexicaanse griep e-mail met een kwaadaardige bijlage verscheen deze week. Symantec Security Response analyseerde het bestand, dat als een PDF-document van veelgestelde vragen over varkensinfluenza poseert.

" Wanneer gebruikers proberen toegang te krijgen tot het PDF-bestand, malcode in de PDF probeert misbruik te maken van een oud Adobe-beveiligingslek (BID 33751) om malware op de lokale computer te zetten, "aldus een Symantec-rapport.

Symantec detecteert de schadelijke PDF als Bloodhound.Exploit.6 en het verwijderde bestand bevat in de PDF als InfoStealer, een trojaan, Symantec beschouwt het als een niveau 1-bedreiging - aan de onderkant van de schaal.

Gebruikers die de typische beste praktijken volgen, hoeven zich geen zorgen te maken, zei Marc Fossi, manager van Symantec Security Response.

Een patch van Adobe is al enige tijd beschikbaar, antivirussoftware zou de bedreiging detecteren als het zou proberen de installatie en antispamsoftware de e-mail mogelijk zou stoppen, legde hij uit.

"Er is eigenlijk niets overdreven uniek aan. We hebben kwaadaardige code gezien met dit soort technieken vrij algemeen … het aspect van sociale ontwikkeling is hier het echte hoogtepunt, "zei Fossi.

De huidige gebeurtenissen zijn geweldige triggers voor spam- en phishing-campagnes, zegt James Quin, senior onderzoeksanalist bij Info-Tech Research Group Inc.

Hoewel de onderliggende malware in de FAQ-e-mail van Swine Flu onlogisch is, is de techniek die wordt gebruikt om de malware in eindmachines te krijgen interessant, zei hij.

"Wat maakt deze standaard uniek is hetzelfde type technieken dat phishers gebruiken nu worden gebruikt voor malware, "zei Quin.

Maar de schadelijke e-mail verbaast Chenette niet." Er zullen meer kwaadaardige bijlagen en exploits en verschillende soorten kwaadwillende executables die aan deze e-mails zijn gekoppeld gaan uit ", zei hij.

Een soortgelijk patroon deed zich voor tijdens de SARS-uitbraak begin 2000, volgens Chenette. SARS-gerelateerde spam leidde tot schadelijke uitvoerbare bestanden die aan de e-mails waren gehecht, dus dat is de richting waarin Websense spammers ziet g oing met de Mexicaanse griep, zei hij.

Malware aan spam koppelen is niet meer typisch, volgens Chenxi Wang, principal analyst in Security and Risk Management bij Forrester Research Inc.

"Vroeger, toen spam voor het eerst ontstond, droegen ze kwaadaardige bijlagen," zei ze. Maar toen bedrijven "slimmer werden" en e-mailbijlagen gingen weigeren, stopten spammers met het toevoegen van kwaadaardige bijlagen aan hun e-mails, legde ze uit.

Het komt vaker voor dat spammers URL's in spamberichten plaatsen en mensen ertoe aanzetten om erop te klikken, ze naar een website sturen die mogelijk malware bevat, of de website kan linken naar een andere site die malware bevat, zei ze.

"Ik weet niet hoe succesvol het koppelen van malware in een e-mail zou zijn omdat tenzij de malware is erg polymorfisch … het is vrij eenvoudig om door antivirussoftware te worden gedetecteerd ", aldus Wang.

Wang beschouwt de schadelijke e-mailbijlage ook niet als teken dat de spammertechnieken aan het veranderen zijn. "Je zult nog steeds spam zien met ingesloten URL's versus die met kwaadaardige bijlagen", zei ze.

Hoewel het moeilijk te zeggen is of spam gerelateerd aan de Mexicaanse griep zal blijven groeien, zei Fossi dat het hem niet zou verbazen. Symantec zag hetzelfde patroon ontstaan ​​tijdens de Amerikaanse presidentsverkiezingen en de laatste herfst met de economische crises.

Spammers werken vaak met thema's, waaronder sportevenementen zoals de Olympische Spelen, maar thema's die angst oproepen zijn vaak de meest succesvolle, volgens Chenette.

"Spammers maken intens gebruik van het thema rond de Mexicaanse griep, omdat er een grote angst is.Als ze gebruikers kunnen afschrikken, neemt de kans op succes enorm toe in tegenstelling tot sportevenementen," zei hij..

Maar de hoeveelheid spam die circuleert rond de Mexicaanse griep is niet ongebruikelijk voor een groot evenement, volgens Wang. "Ik vind het gemiddeld qua schaal," zei ze.

"We hebben inauguratie-spam gezien toen Barack Obama aantrad en we dingen zagen als Twitter-spam toen Twitter populair werd," zei ze