W treści emaila znajduje się informacja o braku możliwości dostarczenia przesyłki oraz zalecenie wydrukowania kopii załączonej faktury. Załącznik to plik “zip” , który zawiera wykonywalny plik Microsoft Word o nazwie “UPS_invoice”. Po otworzeniu dokumentu przez użytkownika na jego komputer dostaje się niebezpieczny trojan Agent.JEN.
Ten złośliwy kod przedostaje się do systemu i zmienia plik Userinit.exe w systemie operacyjnym Windows. Plik ten uruchamia przeglądarkę Internet Explorer, interfejs systemu i inne podstawowe procesy. Aby umożliwić dalszą prawidłową pracę komputera i uniknąć podejrzeń o infekcji ze strony użytkownika, niebezpieczny trojan kopiuje plik systemowy do innego miejsca pod nazwą userini.exe. “Ten atak to potwierdzenie panującego trendu: cyberprzestępcy działają z ukrycia, bowiem nie są zainteresowani sławą i rozgłosem, ale uzyskaniem finansowych korzyści” – mówi Maciej Sobianek, specjalista ds. bezpieczeństwa firmy Panda Security Polska.
Ostatecznie, Agent.JEN nawiązuje połączenie z domeną rosyjską, wykorzystywaną już przez niektóre trojany bankowe. Stamtąd użytkownik przekierowywany jest na domenę niemiecką, w celu pobrania rootkita i programu typu adware, wykrytych przez PandaLabs jako Rootkit/Agent.JEP i Adware/AntivirusXP2008. To z kolei zwiększa ryzyko dalszych infekcji.
“Atak z wykorzystaniem trojana Agent.JEN to rzadko spotykany przypadek ataku na komputery. Do tej pory w celu nakłonienia użytkowników do uruchomienia zainfekowanych plików cyberprzestępcy wykorzystywali zdjęcia erotyczne, kartki świąteczne, listy miłosne, czy fałszywe zwiastuny filmów – dodaje Sobianek. To jasno obrazuje, że przestępcy próbują rozprzestrzenić zagrożenia tak, aby nie wzbudzić podejrzenia użytkowników.
Więcej informacji o trojanie Agent.JEN dostępnych jest na blogu PandaLabs:
(http://pandalabs.pandasecurity.com/archive/Fake-UPS-Invoice-Email.aspx)
