News headlines in spam continues – now with MSNBC as target

For the past week a massive attack has infected PCs by tricking users into clicking links in fake messages from CNN.com. The attack has shown little sign of ending soon. The links in the spam mails go to sites which tell you to download the Adobe Flash player to watch a movie. What actually happens when you run this file is that a trojan is installed on your computer. The trojan adds your computer to a worldwide Botnet.

The email itself looks like a completely normal message from CNN.com and some of the links in the email also go to CNN. Right now there is a similar attack in progress, although this time MSNBC.com (NBC’s and MSN’s news site) is used to mask the attack. Spam has flowed in since around 11am on Tuesday. The sites, which the spam messages link to, are most likely hijacked ones and the site owners are probably not yet aware that their sites contain malicious code.

Firefox and Internet Explorer 7 now include filters to block sites like these. However, it normally takes several days before a hijacked site has been reported to these filters. Until then, no warning will be displayed when surfing to these sites.

Nyhetsrubriker i spam fortsätter – nu drabbas MSNBC

Den senaste veckan har det pågått flera spam-attack där spammen ser ut som vanliga nyhetsbrev från CNN.com. Länkarna i mejlet går till sajter som säger att du ska ladda ner Adobe Flash för att titta på en film. Det som i själva verket händer är att en trojan installeras på datorn om du kör filen. Trojanen ser till att du ansluts till ett världsomfattande Botnet.

Mejlet i sig ser ut som ett helt vanligt mejl från CNN.com och vissa av länkarna i mejlet går också till CNN. Just nu pågår en likadan attack, fast denna gång är det MSNBC.com (NBC:s och MSN:s nyhetssajt) som används för att maskera attacken. Sajterna som det länkas till i mejlet är troligen kapade. Sajtägarna är många gånger ännu inte medvetna om att deras sajt innehåller skadlig kod av detta slag.

Den nuvarande attacken kommer från olika datorer runtom i världen och skickas även till användare både i Sverige och utländska mottagare.

Firefox och Internet Explorer 7 innehåller numera filter som ska blockera sajter av detta slag. Det tar dock normalt några dagar innan alla sajter är inrapporterade till dessa filter. Tills dess går det alltså att surfa till dessa sajter utan att få upp några varningar.

IDGs artikel om CNN-spammen

Semestern är slut enligt spam-statistik

Nu verkar det som de flesta har slutat sin semester och börjat gå till jobbet. Vi ser i alla fall en drastisk ökning över antalet filtrerade meddelande från gårdagen. En normal vecka filtrerar SpamDrain ca 300 000 meddelanden där ca 80 % är spam och resten vanliga mejl. Under förra dygnet filtrerades över 160 000 meddelanden – alltså mer än hälften av en normal arbetsvecka. Under juli månad har antalet filtrerade meddelanden minskat i takt med att allt fler går på semester. Men nu verkar det som att de flesta har letat sig tillbaka från stranden till sina inkorgar.

Mer statistik

Skvaller-spam installerar botnet-trojan

Som vi rapporterade i går ser vi nu många spam-meddelanden med anknytning till aktuella händelser. Dessa spam innehåller länkar till webbplatser som installerar en trojan som gör datorn till ett spam-sändande monster. På bloggen I got Spam? rapporterar man om att dessa webbplatser (som till exempel en fingerad Porntube-sajt som är den vuxna versionen av Youtube) hostas på ett antal hackade servrar. När man klickar på länken i spam meddelandet kommer man till den hackade sajten och ett popup-fönster visas som talar om man måste installera en Active-X-kontroll för att man ska kunna titta på filmerna. Det som då händer är att en trojan installeras som lägger till din dator till Storm Worm botnet vilket gör det möljigt för hackare att komma åt din dator för att exempelvis skicka ut spam, virus eller andra bedrägerier. Denna helg ansvarade detta botnet för att ha skickat över 8 miljoner skräppostmeddelanden på 24 timmar.

F-Secure rapporterar också om dessa spam på sin blogg.

Gossip spam installs botnet trojan

As we reported yesterday we now see a lot of spam messages with subject lines related to current events. Many of these spam messages contain links to sites that installs a trojan which makes your computer to a spam sending monster. The blog I got Spam? reports that the sites (for example a bogus Porntube which is the adult version of Youtube) is hosted on a number of hacked servers. When someone clicks on the link a pop-up is displayed, telling the user to install an Active-X control which installs the trojan that welcomes you to the Storm Worm botnet. This weekend this botnet was responsible for sending over 8 million spam messages in 24 hours.

F-secure also reports about these spam messages on their blog.

Gossip in subject attracts our curiousity

The fact that spammers are trying to take advantage of our curiosity to get us to read their incredible offerings is perhaps nothing new. But recently, we have noted that spammers use gossip to get the recepient interested. The contents of the spam is approximately the same as usual. Some text and a link to a site that sells Viagra, sex toys, watches or other items. In the subject line, however, there is something that attract our curiosity. For example, that Britney is involved in a new scandal, or that oil prices are on the way down. Britney and the American presidential candidates are by the way quite popular as the subject of this type of spam. They all have in common that they all usually relates to a current event.

Some examples:
Oil prices starting to DROP
Obama endorses herbal supplements
Tim Russert’s six scandal exposed at funeral
Nokia unveils revolutionary new phone design
Britney found hanged in locker room
Britney lingerie shoot
Britney in drug scandal in saint tropez
Portugal regrets not bringing herbal supplements

Spammers hope that we are more interested in the Britneys latest adventure than how their own fantastic products can help us.

Skvaller i ämnesraden lockar nyfikna

Att spammarna försöker utnyttja vår nyfikenhet för att få oss att läsa deras otroliga erbjudanden är kanske inget nytt. Men på sista tiden har vi noterat att man utnyttjar skvallerpressen för att få mottagaren att bli intresserad. Innehållet i spammen är ungefär som vanligt. Lite text och en länk till en sida som säljer viagra, sexhjälpmedel, klockor eller dylikt. I ämnesraden däremot står det något som ska locka vår nyfikenhet. Exempelvis att Britney är inblandad i en ny skandal eller att oljepriserna är på väg ner. Britney och de amerikanska presidentkandidaterna är föresten ganska populära som ämnesrad i denna typen av spam. Gemensamt är att det oftast knyter an till någon aktuell händelse.

Några exempel:
Oil prices starting to DROP
Obama endorses herbal supplements
Tim Russert’s sex scandal exposed at funeral
Nokia unveils revolutionary new phone design
Britney found hanged in locker room
Britney lingerie shoot
Britney in drug scandal in saint tropez
Portugal regrets not bringing herbal supplements

Spammarna hoppas alltså att vi är mer intresserade av Britneys senaste äventyr än hur deras egna fantastiska produkter kan hjälpa oss.