Egy olyan spamkampány indult, amely az open source fejlesztőket célozza, és a tömörített mellékletben egy Microsoft Word állományt tartalmaz. A dokumentum tömörítve van, ahol a .GZ kiterjesztés jellemzően a Linux alatti GZIP Compressed Archive csomagolásra utal.
A Word dokumentum azonban kártékony makrókat tartalmaz, ezeket az ESET felismerése alapján "VBA/TrojanDownloader.Agent.CLB" néven tudjuk beazonosítani. Maga a levél egy látszólagos ajánlattétel, amellyel munkát ajánl a küldő. "Hey. I found your software is online. Can you write the code for my project? Terms of reference attached below. The price shall discuss, if you can make. Answer please." Hogy miért éri meg pont rájuk célozni, az egyelőre még nem teljesen világos.
A melléklet ellenőrzése azonban mindenképpen ajánlatos lesz, illetve fiatalkorunk matematika óráiról ismerős: "Vegyük észre, hogy..." kezdetű szlogen alapján a .ru domainről érkező levél is sokaknak egyfajta figyelmeztető jel lehet.
A csatolmányban található Microsoft Word fájlban szereplő VBA szkript olyan trójai letöltő található, amely megnyitása és lefutása után további kártékony kódokat igyekszik letölteni a megfertőzött számítógépre.
Az egyik ezzel kapcsolatos beszámolóban az az érdekes, hogy az illető szerint egy olyan e-mail címére kapta ezeket a trójait tartalmazó spamaket, amelyet csak és kizárólag a GitHub rendszerének eléréséhez használ.
Egy másik beszámoló csali levele már direktben hivatkozik a GitHub-ra:
"Hello,
My name is Adam Buchbinder, I saw your GitHub repo and i’m pretty amazed. The point is that i have an open position in my company and looks like you are a good fit. Please take a look into attachment to find details about company and job. Dont hesitate to contact me directly via email highlighted in the document below.
Thanks and regards,
Adam."
Feladótól, tárgytól függetlenül mindig érdemes figyelmesen kezelni a kéretlen leveket. Ha esetleg nincs központi spamszűrés, vagy ha van de valahogy átcsúszott rajta, akkor is a mellékelt linkeket, esetleges csatolmányokat gyanakodva és óvatosan ellenőrizzük.
Ebben operációs rendszertől függetlenül sokat segíthet egy desktop vírusvédelem, de adott esetben a VirusTotal is jó szolgálatot tehet, emellett persze a biztonságtudatos "nemkattintás" is jól jöhet hozzá.
Trójai kampány a GitHub-os fejlesztők ellen
Nem maradnak ki a támadásokból az open source fejlesztők sem, célzott támadások történtek feléjük is. A nyílt forráskódú munkán dolgozó programozók is kaphatnak trójait tartalmazó spameket, sőt itt a melléklet számukra testre szabottan lehet akár ".GZ" is.