Le notizie sul ciclone Kyrill, che sta colpendo il Nord Europa in maniera drammatica, sono state sfruttate in queste ore come vettore di social-engineering per un attacco spam su vasta scala tramite il quale è stato diffuso un pericoloso codice Trojan, lo hanno segnalato varie aziende di sicurezza.

Il messaggio di posta elettronica arriva nelle caselle dei utenti malcapitati con una serie di oggetti tra cui: "230 dead as storm batters Europe" , "British Muslims Genocidi", "Naked teens attack home director", "A killer at 11, he's free at 21 and kill again!", "U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel". Il messaggio include in allegato un file eseguibile camuffato da documento informativo con dettagli sul tempo o da filmato sulla calamità, che include il codice nocivo: Full Clip.exe, Full Story.exe, Full Video.exe, Read More.exe o Video.exe.

Il Trojan è stato classificato da Sophos come "Troj/DwnLdr-FYD" e "Troj/Small-DOR" e da F-Secure come "Small.DAM (Storm-Worm)". Sophos ha segnalato che intercetterà le future varianti in maniera proattiva come Mal/EncPk-B usando la sua tecnologia Behavioral Genotype Protection. Quando viene lanciato, il codice infetta il PC dell'utente. Storm-Worm è capace di scaricare ulteriori codici nocivi sul sistema vittima, trasformando per esempio la macchina infetta in uno spam zombie e rubando informazioni e dati personali. Le infezioni ha visto una impennata la scorsa notte, le e-mail infette si sono moltiplicate fino a rappresentare 1 messaggio di posta su 200 tra tutti quelli in transito in rete.


Graham Cluley, Sophos technology consultant, ha affermato in una statement: "Chiunque ci sia dietro questa campagna di spam è riuscito a generare un 'tempesta' aggressiva di e-mail nelle ultime 12 ore, e alcune inbox potranno percepire la devastazione dell'inondazione … I cybercriminali stanno deliberatamente sfruttando l'interesse pubblico nelle notizie dell'ulti'ora come questa con l'intento di infettare in maniera silente i PC di ignari utenti".

Questa particolare tecnica di social engineering che sfrutta le notizie sulle calamità naturali non è per nulla nuova. I cyber criminali avevano già sfruttato i disastri del Dicembre 2004 (terremoto e tsunami) in Asia, camuffando le loro e-mail nocive da messaggi legati alla crisi umanitaria nella regione. Simili attacchi avevano poi sfruttato l'uragano Katrina e l'attentato terroristico di Londra nel 2005.

La particolarità di questo nuovo attacco, come evidenziato da F-Secure, è il tempismo della diffusione dei messaggi, avvenuto solo poche ore dopo l'effettivo verificarsi dell'evento. Questo ha permesso una rapida estensione delle infezioni in particolare nei territori colpiti dal ciclone Kyrill. F-Secure ha reso disponibile un filmato che mostra graficamente la diffusione delle infezioni nelle prime ore dalla scoperta del malware.