De afgelopen weken is er een toename zichtbaar van het aantal aanvallen op Russische internetgebruikers waarbij geïnfecteerde versies van het populaire spel Angry Birds als lokaas worden ingezet. Het kan dan gaan om kwaadaardige apps voor Android die gebruikers via het versturen van sms-berichten op hoge kosten jagen, maar ook Windows-malware wordt onder de naam van Angry Birds verspreid.
De cybercriminelen die hier achter zitten zouden steeds meer aanvullende maatregelen nemen om te voorkomen dat hun websites worden ontdekt en uit de lucht gehaald. Een veel gebruikte tactiek is het beperken van de toegang tot bezoekers uit een bepaald land. Een Australische onderzoeker krijgt daardoor een andere website te zien als iemand die vanuit Rusland hetzelfde domein bezoekt.
Meestal kijken de websites naar de IP-adressen van bezoekers, maar ook de ingestelde taalinstelling en andere informatie uit de User-agent van de browser kunnen als filter fungeren.
Filter
Beveiligingsbedrijf Netcraft ontdekte onlangs een aantal sites die zich als de website van Angry Birds voordoen. Bij het bezoeken van de website via een Russische proxy kreeg men malware voorgeschoteld, terwijl het bezoeken van dezelfde website via een Australische proxy ervoor zorgde dat men naar Google werd doorgestuurd.
"IP-filtering, maakt het identificeren en classificeren van phishingsites lastiger voor zowel anti-phishingleveranciers en voor hostingproviders die op abuse-meldingen willen reageren", aldus Netcraft.
Deze posting is gelocked. Reageren is niet meer mogelijk.