黑客利用民众对波士顿马拉松爆炸案和德州化肥厂爆炸案的关注开展组合拳式的攻击。攻击方式包括钓鱼、iframe重定向、Redkit漏洞利用包、僵尸网络攻击诸多手段。黑客的攻击通过Zeus、Kelihot僵尸程序感染了大量的计算机,偷窃金融账号和个人信息,发送恶意邮件或劫持个人计算机展开DDoS攻击。
“当全世界沉浸在波士顿马拉松爆炸案的震惊和对无辜遇难者的悲伤中时,网络犯罪分子已经利用民众对事件的关注以及急于提供帮助的心理展开热火朝天地攻击。”Websense在其博客上曝光了黑客的上述行为,同时也提到了攻击者已经开始将注意力转移到孤星州的化肥厂大爆炸。
Websense ThreatSeeker Network发现,攻击者通过发送带有涉及上述事件标题的电子邮件发起攻击。这些邮件的标题往往是“波士顿马拉松爆炸案”或“波士顿爆炸的结果”,以及“德州工厂大爆炸”或“爆料:德州爆炸伤亡几十人。”
“和其他基于事件的攻击一样,黑客不断尝试尽可能扩大攻击范围,而不是聚焦在一小部分人或企业。”Websense称,“据此,这些人就是不断寻找在全球范围内吸引眼球的事件,然后尽可能引诱更多人扩大其攻击的范围。”
大多数情况下,邮件中的内容包含一个URL,事实上里面和事件的任何相关内容都没有。收件人受其标题的诱惑点击这个链接后,一个包含恐怖场面的YouTube视频会呈现出来,同时,通过iframe框架将用户重定向到一个恶意的网页上去。
Websense还发现黑客采用Redkit Exploit Kit工具利用Oracle Java 7 Security Manager Bypass vulnerability 漏洞(CVE-2013-0422),将恶意软件传到目标计算机上,之后为Win32/Kelihos和Troj/Zbot下载开放后门并安装到计算机上,继而将受害者的计算机加入网络犯罪分子的僵尸网络中。
一旦加入僵尸网络,这些僵尸主机就可以随时待命,展开向其他人的攻击。
“虽然网络攻击和恐怖袭击的后果没法比,但是用户还是可以规避的。通过访问拥有良好声誉的网站来获得资讯是一个不错的办法。”Websense说,“如果你想为恐怖袭击的受害者捐款,务必要确信访问的是官方网站,而不是简单通过点击一个邮件的链接来实现。”
可悲的是,类似这样的攻击在灾难发生后经常出现。去年秋天桑迪飓风引发灾难后,在所有和桑迪相关的邮件中,含有慈善欺诈网站URL的邮件竟然排名第一。