Verschillende bedrijven hebben onlangs een e-mail ontvangen die van het Microsoft Volume Licensing Service Center (VLSC) afkomstig leek en via een slimme JavaScript-truc malware probeert te verspreiden. Via het VLSC kunnen bedrijven hun Microsoftlicenties beheren. Het bericht dat rondgaat lijkt erg op de e-mails die Microsoft normaal over het VLSC verstuurt en heeft een gepersonaliseerde aanhef. Volgens de e-mail kunnen ontvangers zich via de meegestuurde link voor het VLSC registreren.
De link wijst in werkelijkheid naar een gehackte WordPress-server. Via JavaScript wordt echter de echte VLSC-website van Microsoft getoond waar gebruikers kunnen inloggen. Er wordt echter gelijktijdig een zip-bestand aangeboden dat van de gehackte WordPress-server afkomstig is. Hierdoor lijkt het alsof het bestand van de Microsoft-websites afkomstig is, hoewel bij de downloadlocatie de gehackte WordPress-server staat vermeld.
Het aangeboden zip-bestand bevat weer een scr-bestand dat een Trojaans paard is. Deze "Chanitor Trojan" maakt vervolgens verbinding met het Tor-netwerk. Volgens Cisco werd de malware op het moment dat de e-mails rondgingen door 9 van de 57 virusscanners op VirusTotal gedetecteerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.