A kiberbűnözők gyakran próbálnak ügyes trükkökkel rávenni embereket arra, hogy megnyissák a kártékony mellékleteket. Kétfajta csel létezik.

Az egyik, amikor az üzenet elvileg egy ismerősen hangzó nevű banktól, közösségi oldaltól, szolgáltatótól vagy más, a címzett érdeklődésére számot tartó szervezettől érkezik, a másik pedig az, amikor az üzenet tárgya erőteljesen figyelemfelkeltő.

Most egy hamis üzeneten alapuló támadás, amely üzenet elméletileg a híres kávézólánctól, a Startbuckstól érkezik, mindkettőt kombinálja.

A levél azt állítja, hogy néhány órával korábban a címzett egy barátja rendelt neki valamit a Starbucksban, hogy megünnepelhessen egy különleges alkalmat. Ez a titokzatos barát a névtelenség homályában szeretne maradni, hogy kellőképpen kiélvezhesse majd a meglepődését, de azért szétküldött pár meghívót egy különleges menü részleteivel, amelyről pontosabb információt a csatolmány tartalmaz. Végezetül jó szórakozást kívánnak az estéhez.

Az össze ilyen üzenet „Különösen fontos!” jelzéssel kerül szétküldésre. Emellett a címek, amelyeket az ingyenes Gmail és Yahoo rendszerekben hoztak létre, mindössze egy-egy karakterben különböznek, és nagyon úgy tűnnek, mintha véletlenszerűen generált kombinációk lennének, mint kispista46@, senkialfonz23@ stb.

A csatolmány egy .exe fájl, és a bűnözők még arra sem vették a fáradságot, hogy elrejtsék ezt egy archív vagy egy dupla fájlnév kiterjesztéssel. Biztosak voltak benne, hogy a címzett minden gyanú nélkül megnyitja a mellékletet.

Az .exe fájl egy Rootkit.Win32.Zbot.sapu, a leghírhedtebb kémprogramcsalád, a Zbot (ZeuS) egy modifikációja. Ezeket az alkalmazásokat bizalmas információk eltulajdonítására használják fel. A Zbot ezen verziója képes egy rootkit (a Rootkit.Win32.Necurs vagy a Rootkit.Win64.Necurs) telepítésére, amely tönkreteheti a vírusirtók vagy egyéb biztonsági megoldások funkcióit.

Forrás: itsecurity