Websense Security Labs ThreatSeeker Network ha scoperto un nuovo attacco malevolo via email.
All’inizio del tanto atteso Campionato Mondiale di Calcio, ci aspettavamo di essere sommersi da spam sull’argomento. L’esempio rilevato oggi è però un po’ diverso dal solito, così come la tecnica utilizzata non desta sospetti.
Abbiamo rilevato più di 80.000 messaggi email, che utilizzano allegato HTML con JavaScript integrato. Una volta eseguito, questo script rimanda ad un sito Web malevolo, da cui i nostri clienti sono protetti grazie all’analisi in tempo reale del nostro motore ACE.
La stessa tecnica di utilizzare JavaScript per collegare un sito Web malevolo era già stata usata in diverse campagne spam.
Di seguito una schermata di un messaggio di posta ricevuto da un utente:
Analizzando il file allegato abbiamo individuato i seguenti script nascosti:
E’ possibile identificare l’uso della sostituzione per ricavare i relativi URL. La sezione ‘replace’ dello script esegue una semplice sostituzione per generare il nome del dominio.
Di seguito è possibile visualizzare l’URL non nascosto:
hxxp://www.advanced[removed].com/xnu4ej/z.htm
Di seguito i risultati dell’analisi URL all’interno del nostro tracker. Come potete notare, realizziamo numerose analisi in tempo reale per garantire la protezione contro questo tipo di minacce:
