Experţii Kaspersky Lab România atrag atenţia utilizatorilor de programe IM (instant messaging) referitor la perfecţionarea atacurilor informatice prin intermediul acestor canale de comunicare.

De ce să nu recunoaștem - stăm pe Messenger în fiecare zi. Suntem conectați de acasă, de la birou, chiar și din cafenele sau de pe telefonul mobil. Schimbăm mesaje cu prietenii - mesaje care uneori conțin și link-uri. Și presupunem în tot acest timp că în spatele ID-ului de Messenger se află un prieten, o persoană pe care o cunoaștem, iar toate link-urile și mesajele vin chiar de la ea. Dar dacă prietenul are calculatorul infectat? Sa facem cunoștință cu Trojan.Win32.Buzus.cmwr:

Mesajul pare a fi suspicios din diverse motive: în primul rând, atât link-ul cât și restul textului sunt scrise pe aceeași linie, apoi, limba folosită este spaniola, nici decum româna. Diverse indicii i-ar putea face pe mulți dintre noi sa ignore un astfel de mesaj, și totuși vedem persoane infectate.

Dar sa facem cunoștință cu o amenințare mai interesantă - Trojan-IM.Win32.Agent.ae - care arată cam așa:

Trojan-IM.Win32.Agent.ae este un cal troian care simulează dialogul cu o persoană existentă în lista de Messenger a utilizatorului infectat, îndemnându-l să acceseze un anumit link.
Website-ul indicat în link-ul primit direcţionează utilizatorul către un blog aparent onest, nu către un fişier executabil, care ar putea fi suspectat ca fiind malware. Odată ajuns pe blog-ul respectiv, vizitatorul este rugat să descarce un „codec" sau „plug-in" special pentru a vedea conţinutul video publicat pe acel site. Bineînţeles, fişierul descărcat nu este altceva decât un virus.

„Acesta este un exemplu al unei adevărate strategii de inginerie socială", spune Ştefan Tănase, Senior Researcher Kaspersky Lab. „Mesajele vin de la unul dintre prietenii pe care îi avem în lista de Messenger, pe linii de text diferite, imitând perfect o conversaţie reală. Majoritatea dintre noi avem încredere în persoanele cu care interacţionăm zilnic online, de aceea nu le suspectăm că ar putea avea intenţii maliţioase. Astfel se explică şi numărul mare de accesări ale link-ului respectiv, şi cele peste 10.000 de download-uri ale falsului codec în mai puţin de 24 de ore, conform statisticilor de pe www.fisier.ro", completează Tănase.

Printre alte strategii abordate de troian se numără:

• Buzz-ul, acest element de nelipsit (din păcate) în conversațiile pe Messenger
• Greșelile de ortografie - cireașa de pe tort!
• Link-ul duce către un blog aparent onest, nicidecum către un fișier executabil

Kaspersky Lab a adăugat în baza de date cu semnături detecţia pentru Trojan-IM.Win32.Agent.ae, a blocat adresele URL ale blog-urilor respective, a notificat www.blogspot.com şi www.fisier.ro despre atacuri, iar în momentul de faţă niciun website utilizat de infractorii cibernetici nu mai este funcţional.
Până la momentul actual, atacurile informatice prin Yahoo! Messenger utilizau numai fraze în limbi străine, redactate pe o singură linie text. Însă, această metodă nu s-a dovedit a fi la fel de eficientă ca cea identificată acum, deoarece utilizatorii ignorau majoritatea mesajelor primite.