Vi ser just nu breda spamkampanjer över hela norden som har MYCKET stor impact. Mailen i denna spamkampanj har ofta ”Faktura” som ärenderad. I mailet kan det finnas en länk till dropbox eller alternativt en html-fil.

När man klickar på länken eller filen så hamnar man på en nedladdningssida som direkt påbörjar hämtning av en fil. Filen som laddas ner kan heta:

faktur

faktura1.zip eller .js

faktura2.zip eller . js

osv

Det finns alltså både exempel där javascriptet ligger i en zip, men också exempel där de hämtas direkt.

js download

Detta har visat sig vara extra effektivt att inte utge sig att komma från Telia, Telenor osv där användare till viss del har lärt sig och istället skicka med en allmängiltig ärenderad och ett allmängiltigt filnamn.

Våra tester visar att kunder med McAfee Real Protect (Machine Learning) är skydda mot detta hot, men vi har självklart inte testat alla varianter.

När denna blogg skrevs så detekterades detta hot av 9 utav 59 leverantörer på Virus Total.

Vår rekommendation är att ni varnar era användare för detta och höj vaksamheten. Ha gärna koll på denna blogg de närmaste dagarna så uppdaterar vi om vi lär oss något mer.

 

Mvh

Kenneth Höglund, Problem Manager NSEC SOC