torsdag 11 juni 2015

Nu luras användare av SIBA-mail

Säkerhetsföretaget WeCloud har noterat en stor mängd förfalskad epost innehållande skadlig kod som anger elektronikkedjan SIBA som avsändare. WeClouds molnbaserade antivirus SecureAnywhere identifierar och stoppar attacken men i nuläget klarar inte traditionella antivirusprogram att stoppa den skadliga koden.

Stora mängder förfalskad epost, som anger elektronikkedjan SIBA som avsändare har under natten och morgonen registrerats i WeClouds säkerhetslösningar. De förfalskade mailen innehåller en bifogad fil som utformats för att lura användaren att tro att det rör sig om ett Microsoft Word-dokument. I själva verket är det en exekverbar fil som infekterar system där den startas. 

-Tyvärr är många system konfigurerade för att dölja filändelser villket gör det svårt för en användare att se skillnad på en falsk och en äkta Word-fil, säger Rikard Zetterberg, VD på WeCloud AB


Den skadliga filen har utformats som en Word-fil för att lura mottagaren.

Epostmeddelandedna har ämnesrad "Din order" följt av ett nummer. Avsändaren är no-reply@siba.se. Efter en analys av flera exempel har WeClouds experter konstaterat att en stor del av e-posten är skickad via det svenska webbhotellet Loopias epostservrar.

En kort text försöker lura användaren att öppna den bifogade filen:


Hej!

Vi bekräftar härmed din beställning.

Orderuppgifter:

Betalsätt: Kort.
Leveranssätt: MyPack.
Totalt inklusive frakt: 12.422,02 sek.

Bifogat finns en mer detaljerad översikt samt information om ångerrätt.
Beställningen levereras så fort vi registrerat din betalning.

Hoppas ni blir lika nöjda med eran produkt som alla våra tidigare kunder!

Vänliga hälsningar,

SIBA Team

I skrivandets stund är det enligt testsidan Virus Total endast 2 av 57 antivirusprogram som lyckas detektera den skadliga koden. Även om många antivirussystem nu börjar skapa signaturer för att kunna blockera den skadliga koden kommer det ta lång tid innan den uppdaterade informationen når användarna eftersom traditionella antivirusprogram ofta bara uppdateras en eller två gånger per dag.



En stor del av dessa utskick hade automatiskt kunnat stoppas av de flesta e-postsystem om Siba hade haft ett SPF-record i sin DNS. Ett SPF-record beskriver för mottagaren vem som får använda domännamnet som avsändare. Istället tillåts nu den förfalskade e-posten hos både Hotmail och Gmail, säger Rikard.

WeCloud distribuerar det molnbaserade antivirusprogrammet SecureAnywhere som aldrig förlitar sig på lokala signaturfiler. Istället jämförs alla nya filer direkt mot en molndatabas som ständigt uppdateras med den senaste informationen om skadlig kod. Med hjälp av den molnbaserade plattformen förkortas reaktionstiderna, det lokala systemet avlastas och administrationen runt om distribution av uppdateringar försvinner helt.

SecureAnywhere har sedan i morse detekterat och stoppat den skadliga koden.

www.wecloud.se
info@wecloud.se