By | October 23, 2017

Locky ransomware השתנו לאחרונה את ההתקפה בטכניקות שוב, מנסה להתחמק מאיתור ולשפר את שיעור הזיהום.

בין השיטות החדשות של התפלגות הוא השימוש של פרוטוקול חילופי מידע דינאמיים (DDE) אשר מאפשר ליישומי Windows להעביר נתונים ביניהם.

בפרוטוקול DDE כולל ערכה של הודעות, הנחיות והשימושים זיכרון כדי לבצע חילופי נתונים בין יישומים משותף.

האקרים מצאו כיצד להשתמש DDE עם מסמכי Office ותוכנות זדוניות לרוץ באופן אוטומטי ללא שימוש בפקודות מאקרו.

DDE, אשר מאפשר יישום Office לטעון נתונים מיישום משרד אחר, ממשיך להיות נתמך, אך הוחלף על-ידי Microsoft עם קישור והטבעה של (OLE).

לפני כמה זמן, מומחי אבטחה הבחין באותה שיטה שבה הועסק על ידי קבוצת פריצה FIN7 התקפות זדוניות ‘ DNSMessenger ‘.

על-פי המטפל לאינטרנט הסופה (ISC) דאנקן בראד, זה יכול להיות גם המשויכת לקמפיין תוכנות זדוניות Hancitor זה נרשם בשבוע שעבר.

דאנקן, אומר כי Locky אימצה גם השימוש של מסמכי Office ו- DDE זיהום. הם היו מצורפים להודעות מחופש חשבוניות, מועברת באמצעות דוא ל זבל שמקורם Necurs.

ההתקפה שנותחה שימוש בוירוס השלב הראשון אשר מושגת התמדה על המערכת פרוצים. מצד שני, הקובץ הבינארי Locky היה נמחק לאחר הפגיעה.

עם זאת, השימוש DDE זיהום הוא רק באחת השיטות מועסק על ידי Locky ransomware.

על פי טרנד מיקרו, Necurs מופץ גם האיום באמצעות HTML מצורפים מחופש חשבוניות, מסמכי Word מוטבע עם קוד זדוני מאקרו או Visual Basic סקריפטים (VBS), כתובות Url זדוניות ב דוא ל זבל, ו- VBS, JS, וקבצים JSE בארכיון באמצעות RAR, ZIP או 7ZIP.

לאחרונה, החוקרים הבחינו מסעות הפצה מתודלק Necurs להפיל את TrickBot בנקאות טרויאני דרך אותו מצורפים נושאת את Locky ransomware.

Leave a Reply

Your email address will not be published. Required fields are marked *