Het is niet de eerste keer dat er een vals vliegticket wordt gebruikt om malware te verspreiden, maar de campagne die sinds gisteren loopt, is wel heel grootschalig. Beveiliger Websense onderschepte alleen gisteren al ruim 850.000 berichten waaraan een KLM-ticket leek te hangen. Léék, want in het meegestuurde zip-bestand zit een kwaadaardige trojan.


De e-mails zien er verraderlijk echt uit, alleen staat de vluchtinformatie niet in de mail zelf. Daarvoor wordt verwezen naar een attachment. In die bijlage, met de naam 'KLM-e-Ticket_.zip', zitten twee kwaadaardige bestanden, allebei met de naam 'KLM-e-Ticket.pdf.exe'. Wie er op klikt, zit opgezadeld met een backdoor die aanvallers via Telnet op poort 8000 toegang tot de computer geeft.

Vlieg er niet in


Hoewel de campagne volgens Websense niet specifiek op klanten van KLM gericht is, denkt het bedrijf dat er toch een aanzienlijk aantal mensen de bijlage zal openen. “Mensen die recentelijk een ticket hebben gekocht, of juist mensen die niets gekocht hebben maard enken dat er met hun creditcard fraude is gepleegd.” Een volledig screenshot, gemaakt door WebSense, ziet u hier.