Fra Terrorangreb i Boston til eksplosionen i gødningsfabrikken i nærheden af Waco i Texas. Kelihos har skiftet fluepapir og lokker nu med video optagelser af eksplosionen. Fremgangsmåden er identisk med terrorangrebet i Boston og den pågældende spammail indeholder blot et link til en kompromitteret webside som indeholder en stribe IFRAMES der peger på Youtube (se vedhæftede skærmdump), men som samtidig også peger på en drive-by side som udnytter sårbarheder i populære tredjepartsprodukter.
Den nye kampagner ankommer med følgende indhold:
Fra: [Spoofet / forfalsket afsender adresse]
Emnelinje:
Waco Explosion HD
CAUGHT ON CAMERA: Fertilizer Plant Explosion
Texas plant explosion Fertilizer Plant Explosion Near Waco, Texas West Tx Explosion
Indhold [link til en kompromitteret webside]
(mellemrum indlagt af CSIS - eksempelvis)
http://78.9 0.213.244/news.html
http://110.9 2.80.47/texas.html
http://178.1 37.120.224/news.html
http://182.2 35.147.164/news.html
Denne flytter brugeren videre mod drive-by siden (mellemrum indlagt af CSIS)
http://bestdog houseplans.com/azsq.html
Drive-by siden udnytter svagheder i bl.a. Java JRE og forsøger at fodre maskinen med en særligt udformet java arkiv (.jar).
<html><body> <td>Unexpected Error. Please, try again later.</td>
<applet code="Code.class" name="pazsfiu" archive="op7.jar">
Hvis Java JRE ikke er behørigt opdateret vil Kelihos blive kopieret til maskinen som dernæst vil downloade et kidnapningsprogram.
Vi har blokeret flere af disse websider i CSIS Secure DNS, ligesom vi beskytter mod drive-by angrebet i Heimdal corporate og PRO.
↧
CSIS Nyheder: Kelihos misbruger explosion i Texas
↧