Storm Worm verspreidt dreigende mails
Gepubliceerd: Maandag 19 november 2007
Auteur: Wilbert de Vries en Maarten Reijnders
'Belangrijk voor je leven', 'Je wordt in de gaten gehouden'. De makers van de Storm Worm hebben een 'nieuwe' truc bedacht om de ontvangers van hun berichten zover te krijgen om een attachment te openen.
Volgens het beveiligingsbedrijf Symantec worden er e-mails verspreid met de suggestie dat de ontvangers in de gaten worden gehouden. Een ingehuurde detective ('mijn naam is nu niet belangrijk') zou de activiteiten van e-mailontvangers monitoren. Hij biedt echter een mogelijkheid om onder deze spionage uit te komen en uit te vinden wie de opdracht heeft gegeven.
De 'detective' stuurt een opgenomen telefoongesprek mee om aan te tonen dat hij je daadwerkelijk in de gaten houdt. Het telefoongesprek is verpakt in een met wachtwoord (123qwe) beschermde rar-file. Wie het meegestuurde rar-bestand opent, krijgt echter niet een telefoongesprek van zichzelf voorgeschoteld. De file bevat een variant van de Storm Worm (ook wel bekend als Nuwar, Peacomm en Zhelatin).
De gebruikte subjects zijn onder meer: 'Danger', 'I'm monitoring you' en 'We have tape of your conversation' (bekijk voor een uitgebreidere lijst van onderwerpen de site van Symantec). De namen van de attachments variëren, maar zien er als volgt uit: call1105-[twee getallen].rar.
AandelenHet zijn weer drukke tijden voor de makers van de Storm Worm. Vorige week waren ze namelijk ook al in het nieuws vanwege een nieuwe poging om niet al te snuggere beleggers geld uit de zak te kloppen. Computers die zijn geïnfecteerd met de Storm Worm, toonden vorige week pop-upschermen waarin reclame wordt gemaakt voor een obscuur aandeel.
De pop-ups doken voor het eerst op op 13 oktober, zo meldt Joe Stewart van SecureWorks op het blog van zijn bedrijf. Het bericht in het browserscherm raadt de lezer aan om aandelen van Hemisphere Gold aan te schaffen.
Het was niet voor het eerst dat de makers van de Storm Worm aandacht proberen te vragen voor 'penny stocks' (aandelen met een lage waarde) waarin weinig wordt gehandeld. Wel is het nieuw dat ze daarvoor een pop-up browserscherm gebruiken. Tot nu toe kozen ze over het algemeen voor e-mails om de prijs van dergelijke aandelen op te stuwen.
Het mag dan ook niet verbazen dat er sinds vorige week maandag e-mails circuleren waarin precies hetzelfde aandeel wordt aangeprezen. De handel in Hemisphere Gold nam afgelopen week flink toe. Aanvankelijk steeg de prijs fors. Maar wie op advies van een spambericht of een pop-up in het bedrijf investeerde, kwam in de meeste gevallen bedrogen uit. Op 13 november daalde de waarde van het aandeel namelijk weer van 1,15 dollar naar 1,00 dollar.
Bron: Techworld
