5 september 2007

Google's Blogger wordt gebruikt door kwaadwillende hackers die 'fake entries' in blogs plaatsen. Deze posts bevatten weblinks die als valstrik fungeren: het klikken op de links leidt tot automatische downloads die een Windows PC kunnen infecteren met ongewenste bestanden, virussen, rootkits e.d. De geinfecteerde computers worden vervolgens 'gekaapt' door de bende achter deze aanval en doorzocht op te verkopen gegevens of gebruikt voor andere aanvallen. De aanval via Blogger is de laatste in een serie aanvallen door een bende die al honderduizenden PC's heeft gekaapt en ingezet in botnets. Beveiligingsexpert Alex Eckelberry van Sunbelt Software ontdekte de fake-posts voor de eerste keer op Blogger op 27 augustus. Nu al zijn honderden blogs op de Google site ge-update met een korte post die de link bevat.

Eckelberry stelt dat 'it was not yet clear how the links were posted to blogs. The bogus entries could have exploited a Blogger feature that lets users e-mail entries to their journal. The blogs themselves could also be fake and set up solely to act as hosts for spam'. Een woordvoerder van Google liet weten dat 'The blog posts are likely from users' whose machines have been compromised by a virus. Among the other recipients of spam e-mails generated by the virus are users' mail2blogger accounts, which allow them to update their blogs via e-mail'. En vervolgend: 'We are in the process of notifying impacted users and recommending that they scan their computers and run current anti-virus tools–good advice for all internet users'. De blogposts hebben dezelfde tekst als de spam die door de groep achter de aanvallen wordt verspreid. Sommige links doen zich voor als YouTube links, andere claimen te zoeken naar testers voor software of digitale ansichtkaarten. De groep achter de aanvallen is waarschijnlijk al actief vanaf januari. De eerste aanval gebruikte spam, waarbij de ontvangers meer informatie konden krijgen over het uiterst slechte weer in Europa in januari. Dit leidde tot het trojaanse virus, Storm Trojan. Vanaf januari zijn er talloze aanvallen gevolgd. 'The criminals responsible for this spam campaign are experts at exploiting social engineering to propagate their botnets', zegt Bradley Anstis van het beveiligingsbedrijf Marshal. De spams zijn voortdurend aangepast aan de actuele situatie en de betrokken virussen zijn voortdurend gewijzigd om de anti-virusprogramma's voor te blijven. Anstis zei dat 'the sheer number of messages being sent by the group was staggering. On some days 4-6% of all the junk messages seen by Marshal were sent by the group'. Beveiligingsexperts geloven dat de betreffende groep criminelen zoveel junkmail kan verzenden omdat ze zoveel Windowscomputers gekaapt hebben. Er wordt geschat dat meer dan miljoen PC's de afgelopen acht maanden aan de botnets van de groep zijn toegevoegd.