Storm Worm heeft het weer voorzien op Blogger.com

Uit cijfers van Google zelf bleek dat Blogger.com / blogspot.com in maart al het gevaarlijkste ip-adres ter wereld had: met 3722 infecties blijkt de weblogdienst een populair adres voor malware-verspreiders. Gezien de nieuwe aanvalsronde van de Storm Worm zal de situatie in april weinig veranderen.

Onder meer de security-bedrijven F-Secure en Marshal maken melding van Storm-activiteiten op Blogger.com. Het Storm-botnet verstuurt mails met daarin links naar pagina's bij Blogspot. Op de betreffende Blogger-pagina's staat een afbeelding van een hart met daaronder de oproep om een download-link aan te klikken en vervolgens op 'Open' of 'Run' te klikken. Wie op het hart klikt, haalt het bestand 'love.exe' binnen, terwijl de download-link leidt naar de file 'withlove.exe'.

De bestanden worden gehost op het fast-flux (met voortdurend wisselende IP-adressen) netwerk van Storm. De makers van Storm Worm hebben de besmette Blogspot-pagina's volgens F-Secure speciaal voor deze spamrun aangemaakt. Voor zover bekend zijn er geen pagina's van legitieme gebruikers van de weblogdienst getroffen.

Het is niet voor het eerst dat de Storm Worm zijn pijlen richt op Blogger.com. Zo probeerden de malwaremakers in augustus vorig jaar om de bezoekers van weblogs bij Blogger.com te verleiden om op een geïnfecteerde link te klikken. In een mum van tijd werden toen honderden Blogspot-adressen besmet.

Storm spamt bovendien wel vaker voor Blogspot-adressen. Meestal gaat het dan echter om advertentiepagina's voor potentieverhogende middelen.

Bron: Techworld