Domov recenzia Chutný spam: obnovuje sa skrývanie ransomware za sebou

Chutný spam: obnovuje sa skrývanie ransomware za sebou

Video: Sglh virus (ransomware). How to decrypt .Sglh files. Sglh File Recovery Guide. (November 2024)

Video: Sglh virus (ransomware). How to decrypt .Sglh files. Sglh File Recovery Guide. (November 2024)
Anonim

Zdá sa, že nie všetky e-mailové útoky pochádzajú od rodín deponovaných despotov, predajcov ponúkajúcich zázračné drogy alebo od prepravných spoločností, ktoré vám pripomínajú dodávku. Niektorí vyzerajú ako nešťastní jednotlivci, ktorí hľadajú prácu. A v tejto ekonomike všetci vieme, že aspoň jedna osoba, ktorá vysiela životopisy každému, koho pozná, v nádeji, že sa dostane na pohovor.

Ako však spoločnosť Cloudmark uviedla vo svojom najnovšom podaní Tasty Spam, „Nenechajte sa v pokušení neočakávanými obnoveniami.“ Môžu vás uhryznúť.

Cloudmark nedávno videl kampaň ransomware doručenú vo forme falošného životopisu, uviedol výskumník Andrew Conway. Samotný útok nie je jednoduchý a recept musí otvoriť škodlivý súbor niekoľkokrát, ale stále je dosť účinný na to, aby sa dotklo mnohých obetí.

Conway opísal rôzne kroky kampane:

E-mail útoku pochádza z Yahoo! E-mailový účet a má súbor, ktorý má byť považovaný za obnovený. Conway poukázal na štyri varovné signály v správe: bola to nevyžiadaná správa; odosielateľ neuviedol priezvisko; životopis bol odoslaný ako súbor.zip; a vyskytujú sa chyby v gramatike, interpunkcii alebo pravopise.

„Niekto, kto skutočne predloží životopis, by dokázal svoju prácu opraviť, “ povedal Conway.

Keď príjemca otvorí súbor.zip, nájde súbor html s názvom ako resume7360.html . Skutočnosť, že životopis je vo formáte.html, je ďalšou červenou vlajkou, pretože väčšina životopisov sa odošle ako text, PDF alebo Word. „Samozrejme je zlý nápad otvoriť aj nevyžiadané súbory PDF a Word, “ povedal Conway.

Vzorka súboru HTML útoku vyzerá takto:

Keď sa príjemca pokúsi otvoriť súbor, prehliadač by sa pokúsil načítať webovú adresu v značke IFRAME. „Je to rovnaké ako nútiť používateľa kliknúť na odkaz, “ povedal Conway a poznamenal, že v tomto prípade odkaz ukazuje na kompromitovaný webový server. URL načíta ďalší súbor HTML, ktorý má presmerovací odkaz smerujúci na odkaz Dokumenty Google.

Presmerovanie používa značku meta obnovenia, ktorá sa zvyčajne používa na aktualizáciu obsahu webovej stránky v reálnom čase. Obnovenie meta na webovú stránku v inej doméne je zvyčajne škodlivé. Väčšina ľudí by na tento účel použila presmerovanie HTTP alebo JavaScript, nie meta obnovenie. Len pre informáciu, HTML z napadnutej vstupnej stránky vyzerá takto:

Odkaz Google Docs stiahne ďalší súbor zip s názvom my_resume.zip a obsahuje súbor s názvom ako my_resume_pdf_id_8412-7311.scr . „Súbor náhodne stiahnutý z internetu. Nebezpečenstvo, Will Robinson!“ povedal Conway.

Prípona.scr je určená pre šetriče obrazovky systému Windows, sú to však v podstate špeciálne naformátované spustiteľné súbory pre systém Windows. Prípona.scr sa často používa na doručovanie škodlivého softvéru používateľom, ktorí netušia. Keď obeť otvorí súbor.scr, spustí sa ransomware. Všetky ich súbory sú zašifrované a sú vybavené účtom stoviek dolárov, aby sa znovu dostali späť.

Conway vyzdvihol zaujímavý bod o tejto kampani s ransomware. Útočník musel podniknúť toľko spletitých krokov, pretože moderné nástroje na filtrovanie vírusov a spamu sú natoľko účinné, že jediný spôsob, ako uspieť, je spojiť viacero krokov, aby obchádzali obranu. Ak máte pocit, že musíte skočiť z viacerých húfov, aby ste si mohli prezrieť životopis, malo by to byť varovaním, že niečo nie je v poriadku. Možno, že táto osoba za e-mailom nemá skutočný záujem o prácu.

Chutný spam: obnovuje sa skrývanie ransomware za sebou