Vídeo: RansomBlox - A Crappy Roblox Ransomware (Setembre 2024)
No tots els atacs basats en correu electrònic semblen procedir de famílies de dèspotes deposats, venedors que ofereixen drogues miraculoses o empreses navilistes que us recorden un lliurament. Alguns semblen indefensos que busquen feina. I en aquesta economia, tots coneixem almenys una persona que envia currículums a tots els que coneixen amb l'esperança de realitzar una entrevista.
Però com va dir Cloudmark en la seva darrera publicació Tasty Spam, "No us deixeu temptar amb els currículums inesperats". Et poden mossegar, dur.
Recentment, Cloudmark va veure una campanya de ransomware en forma de resum, va dir l'investigador Andrew Conway. L'atac en si no és senzill i la recepta ha d'obrir diverses vegades el fitxer maliciós, però encara és prou eficaç que s'hagi vist afectada moltes víctimes.
Conway va descriure els passos següents de la campanya:
El correu electrònic d’atac prové d’un Yahoo! Compte de correu i té un fitxer que pretén que s'adjunti un currículum. Conway va assenyalar els quatre senyals d’avís del missatge: es tractava d’un missatge no sol·licitat; l’emissor no va proporcionar cap cognom; el currículum s’ha enviat com a fitxer.zip; i hi ha errors en la gramàtica, la puntuació o l’ortografia.
"Algú presentant un currículum genuïnament revisaria la seva feina", va dir Conway.
Quan el destinatari obri el fitxer.zip, trobarà un fitxer html amb un nom com a resum7360.html . El fet que el currículum estigui en format.html és un altre indicador vermell, tenint en compte que la majoria dels currículums s’envien com a documents de text, PDF o Word. "Per descomptat, és una mala idea obrir també fitxers PDF i Word no sol·licitats", va dir Conway.
Un exemple del fitxer HTML d’atac sembla:
Quan el destinatari intenta obrir el fitxer, el navegador intentaria carregar l’URL a l’etiqueta IFRAME. "És el mateix que obligar l'usuari a fer clic en un enllaç", va dir Conway, remarcant que, en aquest cas, l'enllaç apunta a un servidor web compromès. L’URL carrega un altre fitxer HTML, que té un enllaç de redirecció apuntat a un enllaç de Google Docs.
La redirecció utilitza una etiqueta d’actualització meta, que s’utilitza normalment per actualitzar el contingut d’una pàgina web en temps real. El meta actualitza a una pàgina web d’un domini diferent sol ser maliciós. La majoria de la gent utilitzava redirecció HTTP o JavaScript per aconseguir-ho, no un refresc de meta. Només per la vostra informació, l’HTML de la pàgina de destinació compromesa s’assembla a això:
L’enllaç de Google Docs descarrega un altre fitxer zip anomenat my_resume.zip i conté un fitxer amb un nom com my_resume_pdf_id_8412-7311.scr . "Un fitxer es va descarregar aleatòriament a Internet. Perill, Will Robinson!" va dir Conway.
El sufix.scr és per a salvadors de pantalla de Windows, però són essencialment fitxers executables especialment formatats per a Windows. L’extensió.scr s’utilitza freqüentment per lliurar programari maliciós a usuaris que no tinguin visió. Quan la víctima obre el fitxer.scr, això desencadena el ransomware. Tots els seus fitxers es xifren i se’ls presenta una factura de centenars de dòlars per tornar-los a recuperar.
Conway va plantejar un punt interessant sobre aquesta campanya de ransomware. L’atacant va haver de fer tants passos revoltats perquè les eines modernes d’antivirus i filtres d’spam són prou efectives que l’única manera de triomfar és combinar diversos passos per evitar les defenses. Si teniu ganes de saltar diversos salts, només per visualitzar un resum, això hauria de ser un avís que alguna cosa és correcta. Potser la persona que hi ha al darrere del correu electrònic no està realment interessada en fer feina.
