Egy Skype támadás margójára

Következő bejegyzés

Idén május közepén felhasználók ezrei kaptak különféle üzeneteket ismerősiektől olyan azonnali üzenetküldő alkalmazásokon keresztül, mint a Skype és a Gtalk. Az üzenetekben arra kérték a felhasználót, hogy nézzenek meg egy olyan fényképet, amit különböző közösségi média felületekre töltöttek fel, ám ez hivatkozás valójában átirányította a felhasználókat egy link rövidítővel átalakított URL-re, amely kártékony programokat tartalmazott. Többek közt a goo.gl, bit.ly, ow.ly, urlq.d, is.gd, fur.ly segítségével rövidített hivatkozások szerepeltek a linkek között. Pusztán a rövidítés még nyilván nem ad okot gyanakvásra, hiszen például a 140 karakter hosszúságú Twitter üzenetek nem is képzelhetőek el nélkülük. De míg például a Google ilyen szolgáltatása általánosságban is megbízhatónak számít, ezzel szemben a bit.ly és a többi líbiai doménhez kapcsolódó link rövidítő szinte kizárólag a kártevők terjesztésénél bukkan fel manapság.

„Tanulságképpen érdemes megjegyezni, hogy nem csak az ismeretlenektől, kéretlenül kapott e-mailek esetében érdemes vigyázni a csatolmányokra, vagy a weboldal hivatkozásokra, hanem az üzenetküldőkön keresztül kapott linkeket tartalmazó üzeneteknél is, még ha ezek látszólag ismerőseinktől is érkeztek. A védekezésben a naprakész vírusirtó mellett az óvatosságnak is jelentős szerepe van, és az ismerősöktől származó, de szokatlan hangvételű, idegen nyelvű, vagy esetleg mindössze csak egy linket tartalmazó üzenetek esetében is érdemes óvatosnak lenni, és nem kattintani” – hangsúlyozta Béres Péter, az ESET termékek magyarországi disztribútora, a Sicontact Kft. vezető IT tanácsadója.

Az első hullám utáni napokban a kiberbűnözők megváltoztatták az üzenetek tartalmát, és ezek a későbbiekben többféle szövegezéssel ismét megjelentek, de alapjaiban nem volt különbség, itt is az áldozatok minden ismerőse megkapta a fertőzött üzenetet. Az ESET-hez több különböző csatornán keresztül is érkeztek értesítések a támadásról. Egyrészt az ESET korai riasztási rendszerén (ESET Early Warning System), másrészt maguk a felhasználók is jelezték mindezt. Emellett az ESET latin-amerikai laborjában dolgozók is felfigyeltek az incidensre, hiszen maguk is használták a Skype-ot, így saját bőrükön tapasztalták a támadást.

A statisztikai adatokból jól kiolvasható, hogy legkevesebb 300 000 felhasználót sikerült ezzel a módszerrel rávenni a fertőzött linkre való kattintásra, ezek többsége Latin-Amerikából (67%) származott, majd ezt követte Oroszország és Németország, de ugyanakkor az Eset magyarországi csapata is találkozott már ilyen típusú incidenssel. A fertőzési időszak nagyjából május vége és június eleje között történt, és okozott károkat az említett térségekben. A fenyegetés alapos elemzése után azonban a korai felismerésnek hála sikerült elejét venni a további jelentősebb terjedésnek, és figyelmeztetni tudták a régióban élő felhasználókat a rohamosan terjedő új féreg megjelenéséről. Az ESET termékei az első támadási hullámban Win32/Rodpicom.C néven azonosították kártékony féreg programot, míg az újabb kártevő verziók esetében pedig Win32/Kryptik.BBKB egy változataként észlelték ezeket és blokkolták a támadást.