Cyberprzestępcy podszywają się pod Microsoft

Przyjęty przez Microsoft harmonogram udostępniania łatek jest z kilku powodów wygodny dla cyberprzestępców. Ostatnim tego przykładem są fałszywe e-maile zawierające plik z łatką do natychmiastowego zainstalowania.

O fałszywych e-mailach donosi Microsoft oraz firmy związane z rynkiem bezpieczeństwa. Wiadomości zawierające wykonywalny plik z wirusem posiadają temat o treści Security Update for OS Microsoft Windows i wydają się pochodzić z adresu securityassurance@microsoft.com. W wiadomości znajduje się też nazwisko Steve'a Lipsnera (jednego z pracowników Microsftu) oraz coś, co wygląda jak sygnatura PGP.

Oczywiście uruchomienie pliku w załączniku spowoduje zainstalowanie na komputerze złośliwego oprogramowania. Będzie to szkodnik o nazwie Backdoor:Win32/Haxdoor. Szkodnik ten zbiera cenne dane (np. hasła, numery kart kredytowych, dane do logowania w banku) i przesyła je do swojego twórcy. Może też podejmować inne szkodliwe działania: czyścić ustawienia, niszczyć dane na dysku i niespodziewanie wyłączać system.

Nowy atak zwrócił na siebie uwagę dzięki dwóm elementom. Po pierwsze cyberprzestępcy bardziej niż zazwyczaj zadbali o wiarygodny wygląd wiadomości. Po drugie wysyłka tej wiadomości dobrze zgrała się z udostępnieniem przez Microsoft październikowych biuletynów bezpieczeństwa. To czyni e-mail jeszcze bardziej wiarygodnym. Użytkownik, który zobaczy w mediach lub na stronach Microsoftu informacje o nowych łatkach, może zostać przekonany do otworzenia załącznika.

Firma Microsoft oczywiście nie wysyła żadnych aktualizacji e-mailem i warto o tym pamiętać. System Windows wyposażony jest we własny mechanizm aktualizacji.

Przy okazji tego ataku znów zaczęto mówić o wadach przyjętego przez Microsoft cyklu udostępniania aktualizacji. Firma z Redmond udostępnia swoje poprawki zawsze w drugi wtorek miesiąca. Trzymając się sztywno tej zasady gigant nie reaguje natychmiast na pojawiające się zagrożenia.

Jeśli informacja o lukach pojawi się w środę po wydaniu poprawek, to na załatanie nowej dziury trzeba czekać miesiąc. Eksperci określają to zjawisko mianem "środa zero-day". Teraz widać, że cyberprzestępcy będą wykorzystywać cykl łatania również w celu rozsyłania niebezpiecznych e-maili.

źródło: www.di.com.pl