Formålet med kampagnen er at lokke godtroende Twitter brugere til at klikke på et link, der så flytter dem over mod en server, som via et Blackhole exploitkit, tvangsfodrer systemet med ondsindet kode.
De uønskede beskeder postes med følgende indhold:
@[%navn på Twiter konto%] It's you on photo? http://[DGA subdomæne].nar od2.ru/
Et skærmdump findes herunder.
Kampagnen anvender i skrivende stund tre forskellige domæner til at levere det skadelige indhold (mellemrum indlagt af CSIS)
http://school13spb[.]ru/cli/
http://narod2[.]ru
http://467777[.]ru/media/
Ovenstående domæner skal man undgå. Vi har blokeret dem i CSIS Secure DNS, og Heimdal Pro og corporate brugere er naturligvis allerede beskyttet.
Vi har samtidig noteret os at følgende server deltager i angrebet:
hxxp://216.17.10 1.156/?2/
Denne IP kan man med fordel overveje at blokere i sin firewall.
↧
CSIS Nyheder: Pas på Twitter BOT
↧