Rogue Microsoft Services Agreement Email Notifications Lead to Latest Java Utnyttelse

Hackere distribuerer falske e-postvarsler om endringer i Microsofts Services Agreement for å lure folk inn på å besøke ondsinnede sider som bruker en nylig sirkulert Java-utgave for å infisere datamaskinene sine med skadelig programvare.

"Vi" mottar flere rapporter om en phishing-kampanje ved hjelp av malen fra en legitim Microsoft-e-post om viktige endringer i Microsoft Services Agreement og kommunikasjonsinnstillinger, "Russ McRee, sikkerhetshendelsehandler på SANS Internet Storm Center, sa lørdag i et blogginnlegg.

De falske e-postmeldingene er kopier av legitime varsler som Microsoft sendte ut til brukerne til å anno unce endringer i selskapets serviceavtale som trer i kraft 19. oktober.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

I de skadelige versjonene av e-postene er de riktige koblingene erstattet

Blackhole er et verktøy som brukes av cyberkriminelle til å lansere webbaserte angrep som utnytter sårbarheter i nettleser-plugin-moduler som Java, Adobe Reader eller Flash Player, for å få tilgang til nettsider. for å installere skadelig programvare på datamaskinene til brukere som besøker kompromitterte eller ondsinnede nettsteder.

Denne typen angrep kalles for nedlasting og er svært effektiv fordi det ikke kreves noen brukerinteraksjon for å oppnå sitt mål.

Blackhole var nylig oppdatert for å inkludere en ny utnyttelse for Java 7 som dukket opp online i mandags. Koblingene i de svarte Microsofts servicevarselmeldingene peker på Blackhole-infiserte nettsteder benytter seg av den nye Java-utvinningen for å installere en variant av Zeus økonomisk skadelig programvare, sa McRee.

Oracle lanserte Java 7 Update 7 på torsdag for å løse sårbarhetene Målrettet av denne utnyttelsen.

Den ondsinnede Java-appleten som brukes i dette angrepet, oppdages av bare åtte av de 42 anitivirus-motorer som er tilgjengelige på VirusTotal-filskanningstjenesten. Zeus-varianten har en tilsvarende lav gjenkjenningsgrad.

Teknikken for å skape ondsinnede versjoner av legitime e-postmeldinger sendt av pålitelige selskaper er svært gammel. Men den fortsatte bruken av cyberkriminelle tyder på at den fortsatt er effektiv.

"Denne e-postmeldingen er en lovlig kunngjøring om oppdateringer til Microsoft Services Agreement and Communication Preferences", en Microsoft-programleder for støtte til postteknologier som identifiserer seg som Karla L , sa på Microsoft Answers nettside som svar på en bruker som spør om ektheten av e-postmeldingen.

Men hun anerkjente senere at det finnes rapporter om ondsinnede e-poster som bruker samme mal. "Hvis du mottok en epost om oppdateringen av Microsoft Services Agreement, og du leser e-posten din via Hotmail eller Outlook.com, bør den legitime e-posten ha et grønt skjold som angir at meldingen er fra en pålitelig sender," sa hun. "Hvis e-posten ikke har et grønt skjold, kan du markere e-postadressen som en phishing-svindel."

Overflytting av koblingene i den legitime versjonen av e-posten bør peke på steder på microsoft.com-domenet. Alt annet skal behandles som mistenkelig.

Gjennomgang av e-posthodene kan også gi ledetråder om e-postadressen er legitim. For eksempel kommer noen eksempler på denne rogue-e-postmeldingen fra en IP-adresse i Kina, sier McRee.