Video: Ransomware Attack on Hospitals & Healthcare - Plus How to Protect Against Ransomware (Studeni 2024)
Čini se da svi napadi temeljeni na e-pošti ne potječu od obitelji zbrinutih despota, prodavača koji oglašavaju čudesnim lijekovima ili brodarske kompanije koja podsjeća na dostavu. Neki izgledaju poput nesretnih pojedinaca koji traže posao. A u ovom gospodarstvu svi znamo barem jednu osobu koja šalje životopis svima koje poznaje u nadi da će izaći na intervju.
No, kako je Cloudmark rekao u posljednjem članku o ukusnoj neželjenoj pošti, "Ne budite iskušeni neočekivanim životopisima." Mogu te ugristi, teško.
Cloudmark je nedavno vidio kampanju ransomwarea dostavljenu u obliku lažnog životopisa, rekao je istraživač Andrew Conway. Sam napad nije jednostavan i recept treba nekoliko puta otvoriti zlonamjernu datoteku, ali je još uvijek dovoljno učinkovit da su pod utjecajem mnogih žrtava.
Conway je opisao različite korake kampanje:
E-poruka o napadu dolazi s Yahoo! Račun pošte i datoteka je u prilogu kao rezime. Conway je istaknuo četiri znaka upozorenja u poruci: bila je to nepoželjna poruka; pošiljalac nije naveo prezime; životopis je poslan kao.zip datoteka; a postoje pogreške u gramatikama, interpunkcijama ili pravopisima.
"Netko je stvarno poslao životopis lektorirao svoj rad", rekao je Conway.
Kad primatelj otvori.zip datoteku, pronaći će html datoteku s imenom poput resume7360.html . Činjenica da je životopis u.html formatu je još jedna crvena zastava, s obzirom da se većina životopisa šalje kao tekst, PDF ili Word. "Naravno, loša je ideja otvoriti i neželjene PDF i Word datoteke", rekao je Conway.
Uzorak HTML datoteke napada izgleda ovako:
Kada primatelj pokušava otvoriti datoteku, preglednik će pokušati učitati url u oznaku IFRAME. "To je isto što i prisiliti korisnika da klikne na vezu", rekao je Conway, napominjući da u ovom slučaju veza upućuje na ugroženi web poslužitelj. URL učitava još jednu HTML datoteku koja ima vezu za preusmjeravanje koja upućuje na vezu Google Docs.
Za preusmjeravanje se koristi meta oznaka za osvježavanje, koja se obično koristi za ažuriranje sadržaja web stranice u stvarnom vremenu. Meta osvježavanje web stranice na drugoj domeni obično je zlonamjerno. Većina ljudi bi koristila HTTP preusmjeravanje ili JavaScript da bi to postigli, a ne meta osvježavanje. Samo za vaše podatke, HTML s kompromitirane odredišne stranice izgleda ovako:
Veza za Google Dokumente preuzima drugu zip datoteku koja se zove my_resume.zip, a sadrži datoteku s imenom poput my_resume_pdf_id_8412-7311.scr . "Datoteka nasumično preuzeta s Interneta. Opasnost, Will Robinson!" rekao je Conway.
Sufiks.scr namijenjen je čuvarima zaslona za Windows, ali oni su u osnovi posebno formatirane izvršne datoteke za Windows. Proširenje.scr često se koristi za isporuku zlonamjernog softvera sumnjivim korisnicima. Kad žrtva otvori.scr datoteku, to aktivira ransomware. Sve su njihove datoteke šifrirane i dobivaju se novčanice od stotine dolara kako bi ih ponovno vratili.
Conway je pokrenuo zanimljivo pitanje o ovoj ransomware kampanji. Napadač je morao poduzeti toliko zapetljanih koraka jer su moderni alati za filtriranje neželjene pošte i neželjene pošte dovoljno učinkoviti da je jedini način da uspije spojiti više koraka kako bi zaobišao obranu. Ako smatrate da morate skočiti više hopposa samo da biste pogledali životopis, to bi trebalo biti upozorenje da nešto nije u redu. Možda ta osoba koja stoji iza e-pošte zapravo nije zainteresirana za posao.
