Twitterworm misbruikt linkverkorter Google
Er is een nieuwe Twitterworm opgedoken die de Google-linkverkorter goo.gl misbruikt en nietsvermoedende twitteraars naar een malwaresite omleidt.
Volgens malwarejagers die de bedreiging op het spoor zijn gekomen, leidt deze worm na een aantal omwegen naar een webpagina die het valse antivirusprogramma Security Shield aanbiedt. De pagina gebruikt allerlei technieken, zoals RSA-versleuteling in Javascript, om de broncode van de pagina in kwestie te verduisteren.
Oekraïens topleveldomein
Nicolas Brulez, een malware-expert bij beveiliger Kaspersky Labs, zegt dat de gebruikte goo.gl-links in Twitterberichten gebruikers naar verschillende domeinen sturen met de HTML-pagina m28sx.html. Na een aantal verwijzingen komen gebruikers dan terecht op een statisch domein met een Oekraïens topleveldomein.
[related_article id=”158901″]
En dat domein sluist de getroffen gebruiker uiteindelijk door naar een IP-adres dat in het verleden al gelinkt werd aan valse antivirusdistributies. Zodra de browsersessie op de schadelijke site belandt, wordt een waarschuwing getoond dat de computer verdachte applicaties uitvoert. Gebruikers krijgen vervolgens het advies om een scan uit te voeren.
Zoals gewoonlijk is het resultaat dat de machine besmet wordt met valse bedreigingen, met als uiteindelijk doel de gebruiker valse desinfectiesoftware te laten downloaden.
Er is een nieuwe Twitterworm opgedoken die de Google-linkverkorter goo.gl misbruikt en nietsvermoedende twitteraars naar een malwaresite omleidt.
Volgens malwarejagers die de bedreiging op het spoor zijn gekomen, leidt deze worm na een aantal omwegen naar een webpagina die het valse antivirusprogramma Security Shield aanbiedt. De pagina gebruikt allerlei technieken, zoals RSA-versleuteling in Javascript, om de broncode van de pagina in kwestie te verduisteren.
Oekraïens topleveldomein
Nicolas Brulez, een malware-expert bij beveiliger Kaspersky Labs, zegt dat de gebruikte goo.gl-links in Twitterberichten gebruikers naar verschillende domeinen sturen met de HTML-pagina m28sx.html. Na een aantal verwijzingen komen gebruikers dan terecht op een statisch domein met een Oekraïens topleveldomein.
[related_article id=”158901″]
En dat domein sluist de getroffen gebruiker uiteindelijk door naar een IP-adres dat in het verleden al gelinkt werd aan valse antivirusdistributies. Zodra de browsersessie op de schadelijke site belandt, wordt een waarschuwing getoond dat de computer verdachte applicaties uitvoert. Gebruikers krijgen vervolgens het advies om een scan uit te voeren.
Zoals gewoonlijk is het resultaat dat de machine besmet wordt met valse bedreigingen, met als uiteindelijk doel de gebruiker valse desinfectiesoftware te laten downloaden.