Akta dig för svininfluensspam

Artwork: Spamkampanjer börjar ofta med ofarliga e-postmeddelanden och bygger sakta in i mer allvarliga hot, säger Stephan Chenette, chef för säkerhetsforskning hos Websense Inc.

"Spammare är i allmänhet mycket väl kopplade till varandra och ser hur bra det fungerar. Det går alltid igenom testfasen," sa han.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

De testa kampanjer med mindre hotande tillvägagångssätt, dela feedback mellan varandra, ta reda på vad som fungerar och vad som inte och sedan starta alltmer skadliga attacker, förklarade han. "

" Genom att vi ser att de har ökat antalet e-postmeddelanden som går ut kring svininfluensan, indikerar det att det hittills varit en mycket framgångsrik kampanj, säger han.

Websense har spårat den senaste trenden, som har ökat under den senaste veckan. Antalet e-postmeddelanden med ämneslinjer relaterade till svininfluensan är i tiotusentals, enligt Chenette.

Trenden började med traditionell medicinsk spam - eller medspam - det gjorde inte nödvändigtvis bluff-användare, sa han. "De lurade användarna genom att skrämma dem, men det fanns inga skadliga bilagor."

Sedan utvecklades spam till penningprogram, där spammare försökte säljer läkemedel, medicintekniska produkter och PDF-filer som innehåller generisk information om svininfluensan för $ 20 till $ 30, förklarade han.

"Medspam har alltid varit något som spammare har använt för att tjäna pengar och det faktum att det finns ett influensatypssymtom som tillåter dem att sälja sin historia på ett mer övertygande sätt har varit bra för spammare ", sa han. "

Det första svininfluensa-e-postmeddelandet med en skadlig bilaga uppstod den här veckan. Symantec Security Response analyserade filen, som utgör ett PDF-dokument om svininfluensa vanliga frågor.

" När användare försöker komma åt PDF-filen, malcode inom PDF-filen försöker utnyttja ett gammalt Adobe-sårbarhet (BID 33751) för att släppa skadlig kod på den lokala datorn ", säger en Symantec-rapport.

Symantec upptäcker den skadliga PDF-filen som Bloodhound.Exploit.6 och den bortkomna filen i PDF som InfoStealer, en trojan. Symantec räknar det med ett nivå 1-hot - i den låga delen av skalan.

Användare som följer typiska bästa praxis har inte mycket att oroa sig för, säger Marc Fossi, chef för Symantecs säkerhetsreaktion.

En patch från Adobe har varit tillgänglig under en tid, antivirusprogrammet skulle upptäcka hotet om det försökte installera och program mot spam skulle kunna stoppa e-posten i första hand, förklarade han.

"Det finns faktiskt inget alltför unikt om det. Vi har sett skadlig kod med hjälp av denna typ av teknik ganska vanligt … den sociala ingenjörsaspekten är den verkliga standouten här, säger Fossi.

Aktuella händelser är stora utmaningar för spam- och phishing-kampanjer, säger James Quin, seniorforskningsanalytiker på Info-Tech Research Group Inc.

Medan den underliggande skadliga programvaran i svininfluens FAQ-e-post är inkonsekvent, är tekniken som används för att få skadlig programvara till slutmaskiner, intressant, sade han.

"Vad gör att den här står ut är samma typ av teknik som phishers använder nu används för skadlig kod, säger Quin.

Men det skadliga e-postmeddelandet överraskar inte Chenette. "Det kommer att bli mer onda bifogade filer och exploater och olika typer av skadliga exekveringar kopplade till dessa e-postmeddelanden går ut ", säger han.

Ett liknande mönster inträffade under SARS-utbrottet i början av 2000, enligt Chenette. SARS-relaterad skräppost medförde att skadliga exekveringar fogades till e-postmeddelandena, så det är riktningen Websense ser spammare g oing med svininfluensan, sade han.

Att bifoga skadlig kod till spam är inte typiskt längre, enligt Chenxi Wang, huvudanalytiker inom säkerhets- och riskhantering vid Forrester Research Inc.

"I de gamla dagarna, när spam först kom till sig, bar de skadliga bilagor," sa hon. Men eftersom företag blev "smartare" och började att inte tillåta e-postbilagor, slutade spammare att lägga till skadliga bilagor till sina e-postmeddelanden, förklarade hon.

Det är vanligare att spammare lägger in webbadresser i skräppost och lockar folk att klicka på dem, skickar dem till en webbplats som kan bära skadlig kod eller webbplatsen kan länka till en annan webbplats som bär skadlig kod, sade hon.

"Jag vet inte hur framgångsrikt att bifoga skadlig kod direkt i ett e-postmeddelande malware är mycket polymorphic … det är ganska lätt att detekteras av antivirusprogram, säger Wang.

Wang anser inte att den skadliga e-postbilagan är ett tecken på att spammarteknik förändras. "Du kommer fortfarande att se spam med inbyggda webbadresser jämfört med dem med skadliga bilagor," sa hon.

Det är svårt att säga om spam i samband med svininfluensan fortsätter att växa, sade Fossi att det inte skulle överraska honom. Symantec såg samma mönster upp under USA: s presidentval och förra hösten med de ekonomiska kriserna. Spamrar arbetar ofta med teman, vilket kan innehålla sportevenemang som OS, men teman som orsakar rädsla är ofta de mest framgångsrika, enligt Chenette.

"Spammare använder starkt temat kring svininfluensan eftersom det är stor skräck. När de kan skrämma användarna ökar sannolikheten för att den lyckas, ökar i motsats till sportevenemang", sa han.

Men mängden spam som cirkulerar runt svininfluensan är inte ovanligt för en stor händelse, enligt Wang. "Jag tycker att det är genomsnittligt i skala," sa hon. "

" Vi har sett inaugationsspam när Barack Obama tog sitt kontor och vi såg saker som Twitter-spam när Twitter blev populärt, "sa hon