Tag Archives: Allehanda

Ny attack: Nätfiskare utnyttjar Kissie, Kenza och pedofilhat för drive-by downloads

För ett par dagar sedan publicerade PC För Alla en nyhet om en riktigt fräck nätfiskeattack. Attacken var väldigt riktad och för ovanlighetens skull på svenska, vilket gjorde den ganska exceptionell.

Förövarna försökte nå ut både via forum och genom e-post. I mejl fick personer veta att de hade blivit tillagda på sidan barnförbrytare .se – alltså i egenskap av person som begått brott mot barn (även om jag tycker att namnet kanske främst antyder att det handlar om barn som är förbrytare). Få människor vill bli uthängda som pedofiler eller barnmisshandlare.

Jag har även sett infekterade länkar på ett forum om styrketräning då till sidan starkastisverige .se och en snabb sökning på ordet barnförbrytare leder oss till sajten hatadjur . nu – nätfiskarna har verkligen kartlagt vilka ämnen som väcker känslor på nätet.

Drive-by-download-attack utnyttjar Kissie och Kenza

Andra försöker man få att klicka genom att kalla sidan för internetkampanj – det skedde exempelvis i forumen på Allt om barn och Amelia. Brott mot barn är ett laddat ämne och många klickar vidare i ren affekt.

Det är svårt att veta hur stor spridning den här attacken har fått, men antagligen har ganska många klickat och infekterats. Rent tekniskt handlar det om en klassisk drive-by download: den infekterade sidan försöker ladda en Java-applet som i sin tur laddar hem en EXE-fil från nätet. Från början var det bara vi på ESET och ett par andra aktörer som upptäckte infektionen i Java-appleten, men nu bör förhoppningsvis de flesta antivirusprogram hitta den Java-appleten och EXE-filen.

EXE-filen verkar vara en variant av Poison Ivy, ett program som gör att man kan fjärrstyra den infekterade datorn. Bland annat kan hackaren kopiera filer, titta genom webbkameran och har möjlighet att helt styra datorn.

De som utförde attacken registrerade flera sajter samma dag, samtliga har nu stängts av webbhotellet Loopia där de låg. Man har bland annat försökt utnyttja de största svenska bloggerskorna för att nå ut, både Kenza och Kissie fick egna infekterade sajter kenzas-boyfriend .com och kissiestalkers .com. Här är ett urval av de nu stängda domänerna:

smygpedofiler .se
barnforbrytare .se
hatadjur .nu
kenzas-boyfriend .com
snuska-bilder .com
kissiestalkers .com
traderaskojare .se
gratis-st500 .se
sextrakasserier .se
gratisconverse .se
traderas-bedragare .se
pokerbluffen .nu
landskronaproblemet .se
svindelinfo .se

Uppdaterat 2010-05-14:
sdanhangare .se
sd-anhangare .se

Uppdaterat 2010-06-03:
offentligarasister .com

Just vinkeln och de riktade attackerna på svenska har gjort ett stort avtryck här i Sverige, vilket syns på hur mycket som skrivs om det. Några exempel:

Sydsvenskan
Aftonbladet
Svenska Dagbladet
Allehanda.se
Webbtips.se

Den mänskliga faktorn

På många företag blockeras anställda från att använda sociala nätverk, till exempel Facebook och andra sociala nätverk. De flesta utgår nog ifrån att det är för att ledningen vill att de anställda faktiskt ska arbeta på jobbet, men det finns ofta en annan orsak också – säkerheten. Man brukar ju säga att en kedja aldrig är starkare än dess svagaste länk, och när det gäller IT-säkerhet är den länken oftast användaren.

Sajter med sociala inslag tenderar – som jag har nämnt här tidigare – att dra till sig en hel del spam och skadlig kod. Det innebär en tydlig risk för företagen, så självklart vill man undvika att de anställda klickar på skumma länkar till höger och vänster. Det finns chefer som oroar sig för att anställda som sprider personlig information alltför vidlyftigt helt enkelt själva utgör en form av säkerhetsrisk – personlig information kan ju användas för allehanda former av cyberbrott.

En annan aspekt är att många arbetsgivare är oroliga för att företagshemligheter ska spridas, avsiktligt eller oavsiktligt, vilket kanske är förståeligt. En till synes enkel lösning på båda de här problemen blir då ett filter.

Hur företag agerar är naturligtvis en avvägningsfråga, om anställda på IB eller MI6 lade ut sina semesterfoton på Facebook skulle jag också börja skruva på mig. Men trots riskerna: Att helt blockera nätverkssidor är kanske inte den bästa tänkbara lösningen på problemet. Det finns trots allt många positiva aspekter med det sociala nätverkandet på Internet. För många är sidorna ett viktigt arbetsverktyg och för andra är de helt enkelt en nyttig ventil.