Yeni Truva Atı Spam Aktarıcıları Olarak .edu ve .mil Sunucularını Kullanıyor
BitDefender, 30 nisan da, Bizans entrikalarını anımsatan bir spam gönderim olgusunu açığa çıkardı. Yakalama, videolara bağlantı sağladığını belirten spam e-postaların tanımlanmasıyla gerçekleşti. Kullanıcılar bağlantıya tıklayıp videoyu izlemeye çalıştıklarında, izlemek yerine bir ortam yürütücüsü indirmeye yönlendiriliyorlardı.
Bu ortam oynatıcısı da aslında kurbanlarının bilgisayarlarını bir dizi posta sunucusuna komutlar göndermekte aracı olarak kullanan Backdoor.Edunet.A kötücül yazılımıydı. Spam yaymaya en uygun posta sunucuları da çoğunlukla .edu ve .mil domainleri içinde bulunuyor.
Sunucu listesi, Truva atı tarafından saldırganın kendi ağı ile kendisini bu ağa kaptırmış sunucular arasından oluşturuluyor. Sunucular listesi sürekli değişiyor ama ana hedefte olanlar sabit kalıyordu.
Truva atı komutları, gönderilen sunucu üzerinde herkesin posta göndermesine izin verecek şekilde hatalı yapılandırmaya sahip bir bağlantı noktası yakalamak amacıyla yolluyor ve bu da temel olarak, aslen Truva atı tarafından gönderilen e-postaların, bu açık bağlantıya sahip sunucu tarafından gönderildiği izlenimini yaratıyor..
Bitdefender araştırmacıları, en azından şu an için, mevcut hedef listedeki hiçbir sunucunun aslen kırılgan olmadığına eminler.
“Bırakın askeri ve üniversitelerce kullanılan e-posta sunucularını spam gönderimi bağlantı noktası olarak tercih edenleri, her gün dürüst “hack”leme halkalarının çalışmalarına takılmak pek olan bir şey değil” diyor BitDefender AV Araştırma Yönetiminden Sorin Dudea. “Eğer varsa, hedeflenen sunucuların sahibi kuruluşların ortak noktalarının ne olduğunu tanımlamak ta ilginç olurdu”.
