Une nouvelle campagne majeure de spam de logiciels malveillants imitant les invitations envoyées via un site de réseautage d’entreprise LinkedIn.com tire parti de la confiance des utilisateurs et d’un évier de cuisine d’exploits de navigateur dans le but d’installer le vol de mot de passe Cheval de Troie ZeuS.
La campagne de spam a commencé lundi matin, selon les experts en sécurité du géant des réseaux Systèmes Cisco, et pendant un certain temps, les fausses invitations LinkedIn représentaient jusqu’à 24 % de tous les spams. Les destinataires qui cliquent sur des liens dans le message sont redirigés vers une page Web indiquant « Veuillez patienter, 4 secondes », puis envoyées à Google.com.
Sur le chemin de Google, cependant, le navigateur de la victime est silencieusement passé par un site équipé de ce semble être la Pack d’exploitation SEOun kit commercial de logiciels criminels qui tente d’exploiter plus d’une douzaine de vulnérabilités de navigateur pour tenter d’installer Zeus.
Cette attaque trompera sans aucun doute un grand nombre de personnes. Dan Tynanjournaliste pour IT World, a déclaré qu’il était trompé en cliquant sur le lien et peut-être infecter son système.
C’est une bonne idée d’éviter de cliquer sur les invitations de sites de réseaux sociaux qui arrivent par e-mail, surtout si vous ne reconnaissez pas le nom de la personne qui vous invite. Au lieu de cela, envisagez simplement de naviguer sur le site de réseautage social et de gérer toutes les invitations qui s’y trouvent. De plus, cette attaque est un bon rappel qu’il est avantageux de se tenir au courant des derniers correctifs de sécurité.
Ce qui m’intéresse le plus dans cette arnaque, c’est qu’elle montre que les criminels brandissant ZeuS utilisent désormais des services en ligne axés sur l’emploi à la fois pour infecter de nouveaux PC et pour « encaisser » ces mêmes victimes, grâce à des mules financières recrutées sur des sites de recherche d’emploi comme Monster.com et Careerbuilder.com.
J’ai demandé à Cisco de fournir plus d’informations sur les domaines utilisés dans cette attaque. Certaines de ces informations sont incluses dans le résumé répertorié ici (veuillez faire attention aux domaines de cette liste – ils doivent tous être considérés comme hostiles).