Spammers passen hun tactieken weer eens aan, in hun zucht naar grotere botnets. Ze versturen minder e-mails met schadelijke bijlagen. In plaats daarvan worden computergebruikers bestookt met berichten die een kwalijke URL bevatten. Vaak gaat het om een vals seintje dat er een e-card klaarligt. Steeds meer malware zal op deze manier worden verspreid, voorspelt MessageLabs.

Het percentage malware dat middels deze simpele mails-met-URL 'aan de man wordt gebracht', is door de recente Storm Worm-aanval verdubbeld, zegt Alex Shipp, antivirustechnoloog bij MesssageLabs. "Vóór Storm werd meer dan 25 procent van de malware op deze manier verspreid, en Storm heeft dit ruim over de vijftig procent getild."

De tactiek dook een aantal jaren geleden op. Vooral Braziliaanse bendes maakten veel gebruik van valse e-cardmailtjes, waarin de ontvanger wordt uitgenodigd om op een link te klikken. Zo probeerden zij banktrojanen te installeren en geld te stelen. Dit werkte goed omdat e-cards populair zijn in Brazilië en online bankieren er wijdverbreid is. "Recentelijk hebben andere criminele bendes, met name de Storm-bende, het succes van de e-cardtactiek duidelijk opgemerkt, en ze volgen", aldus Shipp.

De strategiewijziging valt daarnaast te verklaren door het feit dat e-mails met schadelijke bijlagen steeds vaker worden geblokkeerd, zowel bij particulieren als bij bedrijven. En de spammers zijn overduidelijk niet van plan hun lucratieve bron van inkomsten zomaar op te geven.

Het gemiddelde formaat van een e-mail met een link naar malware is bovendien zestig keer kleiner dan dat van een e-mail met een malware-attachment. De spammers kunnen met dezelfde infrastructuur dus zestig keer zoveel e-mails versturen als voorheen. "Dit alles betekent dat deze nieuwe tactiek zeer goed werkt voor hen, en dus kunnen we verwachten dat dit doorgaat en zich ook verder ontwikkelt", zegt Shipp.

Geraffineerde aanpak
Het is volgens MessageLabs de natuurlijke volgende stap in de evolutie van malware. De vorige spamevolutie was het terugschalen van de aanvallen, om te voorkomen dat deze op de radar van antivirusbedrijven komen. Dat was een goede oplossing voor aanvallen met e-mailbijlagen, memoreert Shipp.

De nieuwe tactiek is echter nog veel geraffineerder. Bij de mails-met-URL doet het er niet toe of de antivirusbedrijven ze opmerken. De software die zij gebruiken, is over het algemeen niet ontworpen om tekst in e-mails te detecteren, legt de technoloog uit. Een antispamproduct of geïntegreerd antispam-/antimalwareproduct is daar beter voor uitgerust. Maar het is voor de Storm-auteurs heel gemakkelijk om snel nieuwe e-mailteksten te maken en te linken. Zij kunnen daarmee de antivirusbedrijven steeds vóór blijven, stelt hij. Daarom kunnen de beveiligers beter terugvechten door hun pijlen te richten op de malware zelf.

Helaas houden de spammers ook hier rekening mee: "We zien enkele interessante tactieken van de bad guys om dit te voorkomen." Zo vallen spammers beveiligingsbedrijven die proeven van malware proberen te downloaden aan, en ze 'voeden' hen onschadelijke proeven. Ook wordt de malware soms na iedere download vernieuwd. Shipp: "Dit alles maakt het leven voor antivirusbedrijven erg zwaar."