Falsi biglietti elettronici KLM cercano di installare backdoor

Websenss_KLM_trojan

Email fasulle di biglietti elettronici aerei contenenti allegati malevoli non sono una novità. Websense ThreatSeeker Network ha rilevato una nuova massiccia campagna che sembra provenire da KLM, la compagnia aerea di bandiera olandese.

Sono stati intercettati oltre 850.000 messaggi solo lunedì 17 settembre. Il messaggio malevolo, con oggetto ‘KLM e-Ticket’, simula il layout di un biglietto elettronico KLM, ma le informazioni sull’itinerario non sono indicate, per spingere gli utenti a visualizzare l’itinerario in un allegato. E così si mette in pericolo la propria macchina. Nonostante questa truffa non sia indirizzata in modo specifico ai clienti KLM, chi ha recentemente acquistato un biglietto potrebbe caderne vittima.

Ogni email contiene valori univoci nelle sezioni passeggero e ricevuta (presumibilmente un tentativo per evitare di essere rilevati), oltre a un allegato malevolo in formato zip ‘KLM-e-Ticket_.zip’. All’interno, due codici malevoli (KLM-e-Ticket.pdf.exe) che consentono l’accesso remote shell alla macchina compromessa via telnet alla porta 8000. Sebbene entrambi questi codici binari cerchino di ingannare gli utenti facendogli credere che il file sia un PDF, non utilizzano Adobe Reader o un’icona simile.

Tags :