Video: U.S. hospitals hit with growing ransomware attacks (Oktober 2024)
Ikke alle e-postbaserte angrep ser ut til å komme fra familier med avsatte depoter, selgere som utreder mirakelmedisiner eller rederier som minner deg om en levering. Noen ser ut som ulykkelige individer som leter etter en jobb. Og i denne økonomien kjenner vi alle minst en person som sender CV til alle de kjenner i håp om å få et intervju.
Men som Cloudmark sa i sin siste innsending av Tasty Spam, "Ikke la deg friste av uventede gjenopptas." De kan bite deg hardt.
Cloudmark så nylig en ransomware-kampanje levert i form av en falsk CV, sier forsker Andrew Conway. Angrepet i seg selv er ikke greit, og oppskriften må åpne den ondsinnede filen flere ganger, men den er fremdeles effektiv nok til at mange ofre har blitt påvirket.
Conway beskrev kampanjens forskjellige trinn:
Angreps-e-posten kommer fra en Yahoo! E-postkonto og har en fil som påstås å være en CV vedlagt. Conway påpekte de fire advarselsskiltene i meldingen: det var en uoppfordret melding; avsenderen oppga ikke etternavn; CVen ble sendt som en.zip-fil; og det er feil i grammatikk, tegnsetting eller stavemåte.
"Noen som virkelig sender inn en CV vil korrekturlese arbeidet deres, " sa Conway.
Når mottakeren åpner.zip-filen, vil han eller hun finne en html-fil med et navn som resume7360.html . At CVen er i.html-format, er et annet rødt flagg, med tanke på at de fleste CVene blir sendt som tekst, PDF eller Word-dokumenter. "Selvfølgelig er det en dårlig ide å åpne uønskede PDF- og Word-filer også, " sa Conway.
En prøve av angreps-HTML-filen ser slik ut:
Når mottakeren prøver å åpne filen, vil nettleseren prøve å laste inn url-en i IFRAME-taggen. "Det er det samme som å tvinge brukeren til å klikke på en kobling, " sa Conway og la merke til at koblingen i dette tilfellet peker på en kompromittert webserver. Nettadressen laster inn nok en HTML-fil, som har en viderekoblingslink som peker til en Google Docs-kobling.
Viderekoblingen bruker en metaoppdateringskode, som vanligvis brukes til å oppdatere innholdet på en webside i sanntid. En metaoppdatering til en webside på et annet domene er vanligvis skadelig. De fleste vil bruke HTTP-viderekobling eller JavaScript for å oppnå dette, ikke en metaoppdatering. Bare for din informasjon ser HTML fra den kompromitterte destinasjonssiden slik ut:
Google Docs-koblingen laster ned en annen zip-fil som heter my_resume.zip, og den inneholder en fil med et navn som my_resume_pdf_id_8412-7311.scr . "En fil tilfeldig lastet ned fra Internett. Fare, Will Robinson!" sa Conway.
.Scr-suffikset er for Windows-skjermsparere, men de er egentlig spesialformaterte kjørbare filer for Windows..Scr-utvidelsen brukes ofte til å levere skadelig programvare til intetanende brukere. Når offeret åpner.scr-filen, utløser det ransomware. Alle filene deres er kryptert, og de blir presentert for en regning på hundrevis av dollar for å få dem tilbake igjen.
Conway reiste et interessant poeng om denne ransomware-kampanjen. Angriperen måtte ta så mange viklede skritt fordi moderne antivirus- og spamfiltreringsverktøy er effektive nok til at den eneste måten å lykkes er å lenke sammen flere trinn for å omgå forsvaret. Hvis du føler at du må hoppe flere hoppoer bare for å se en CV, bør det være en advarsel om at noe er galt. Kanskje personen bak e-posten ikke er interessert i en jobb.
