วีดีโอ: How one ransomware attack cost £45m to fix - BBC News (กันยายน 2024)
ดูเหมือนว่าการโจมตีทางอีเมลจะไม่ได้มาจากครอบครัวของผู้สิ้นเปลืองที่ถูกขับไล่ผู้ขายที่ขายยามหัศจรรย์หรือ บริษัท จัดส่งที่เตือนให้คุณทราบถึงการส่งมอบ บางคนดูเหมือนคนเคราะห์ร้ายที่กำลังมองหางาน และในระบบเศรษฐกิจนี้เราทุกคนรู้อย่างน้อยหนึ่งคนที่ส่งประวัติย่อให้ทุกคนที่พวกเขารู้ด้วยความหวังว่าจะได้สัมภาษณ์
แต่ดังที่ Cloudmark กล่าวในการส่งสแปม Tasty ล่าสุดว่า "อย่าถูกล่อลวงโดยดำเนินการต่อที่ไม่คาดคิด" พวกมันกัดคุณได้ยาก
Cloudmark เพิ่งเห็นแคมเปญ ransomware ส่งในรูปแบบของเรซูเม่แบบใหม่นักวิจัย Andrew Conway กล่าว การโจมตีนั้นไม่ตรงไปตรงมาและสูตรต้องเปิดไฟล์ที่เป็นอันตรายหลายครั้ง แต่ก็ยังมีประสิทธิภาพเพียงพอที่ผู้ที่ตกเป็นเหยื่อจำนวนมากได้รับผลกระทบ
Conway อธิบายขั้นตอนต่าง ๆ ของแคมเปญ:
อีเมลโจมตีมาจาก Yahoo! บัญชี Mail และมีไฟล์ที่อ้างว่าแนบมาด้วย คอนเวย์ชี้ให้เห็นสัญญาณเตือนทั้งสี่ในข้อความ: มันเป็นข้อความที่ไม่พึงประสงค์ ผู้ส่งไม่ได้ให้นามสกุล ประวัติถูกส่งเป็นไฟล์. zip และมีข้อผิดพลาดในข้อผิดพลาดในไวยากรณ์เครื่องหมายวรรคตอนหรือการสะกดคำ
“ มีคนส่งประวัติอย่างแท้จริงจะพิสูจน์การทำงานของพวกเขา” คอนเวย์กล่าวว่า
เมื่อผู้รับเปิดไฟล์. zip เขาหรือเธอจะพบไฟล์ html ที่มีชื่อเช่น resume7360.html ความจริงที่ว่าเรซูเม่อยู่ในรูปแบบ. html เป็นอีกหนึ่งแฟล็กสีแดงโดยพิจารณาว่าเรซูเม่ส่วนใหญ่จะถูกส่งเป็นข้อความ, PDF หรือเอกสาร Word "แน่นอนว่าเป็นความคิดที่ดีที่จะเปิดไฟล์ PDF และไฟล์ Word ที่ไม่พึงประสงค์เช่นกัน" Conway กล่าว
ตัวอย่างไฟล์ HTML ของการโจมตีมีลักษณะดังนี้:
เมื่อผู้รับพยายามเปิดไฟล์เบราว์เซอร์จะพยายามโหลด URL ในแท็ก IFRAME "มันเหมือนกับบังคับให้ผู้ใช้คลิกที่ลิงค์" Conway กล่าวว่าในกรณีนี้ลิงก์ชี้ไปที่เว็บเซิร์ฟเวอร์ที่ถูกบุกรุก URL โหลดไฟล์ HTML อีกไฟล์หนึ่งซึ่งมีลิงก์เปลี่ยนเส้นทางชี้ไปที่ลิงก์ Google เอกสาร
การเปลี่ยนเส้นทางใช้เมตารีเฟรชแท็กซึ่งโดยทั่วไปจะใช้เพื่ออัปเดตเนื้อหาของเว็บเพจในแบบเรียลไทม์ การรีเฟรชเมตาไปยังหน้าเว็บในโดเมนอื่นมักเป็นอันตราย คนส่วนใหญ่จะใช้การเปลี่ยนเส้นทาง HTTP หรือ JavaScript เพื่อทำสิ่งนี้ไม่ใช่การรีเฟรชเมตา สำหรับข้อมูลของคุณ HTML จากหน้า Landing Page ที่ถูกบุกรุกมีลักษณะดังนี้:
ลิงก์ Google เอกสารจะดาวน์โหลดไฟล์ซิปอีกไฟล์หนึ่งชื่อ my_resume.zip และมีไฟล์ที่มีชื่อเช่น my_resume_pdf_id_8412-7311.scr "ไฟล์ที่ดาวน์โหลดแบบสุ่มจากอินเทอร์เน็ตอันตราย, Will Robinson!" คอนเวย์กล่าว
.scr ต่อท้ายสำหรับโปรแกรมรักษาหน้าจอของ Windows แต่เป็นรูปแบบไฟล์ปฏิบัติการพิเศษสำหรับ Windows ส่วนขยาย. scr มักใช้เพื่อส่งมัลแวร์ไปยังผู้ใช้ที่ไม่สงสัย เมื่อเหยื่อเปิดไฟล์. scr ซึ่งจะเรียกใช้ ransomware ไฟล์ทั้งหมดของพวกเขาจะถูกเข้ารหัสและพวกเขาจะถูกนำเสนอด้วยหลายร้อยดอลลาร์เพื่อให้พวกเขากลับมาอีกครั้ง
คอนเวย์ยกประเด็นที่น่าสนใจเกี่ยวกับแคมเปญแรนซัมแวร์นี้ ผู้โจมตีต้องทำตามขั้นตอนที่ซับซ้อนมากมายเนื่องจากเครื่องมือกรองไวรัสและสแปมที่ทันสมัยมีประสิทธิภาพเพียงพอที่วิธีเดียวที่จะประสบความสำเร็จคือการเชื่อมโยงหลายขั้นตอนเข้าด้วยกันเพื่อหลีกเลี่ยงการป้องกัน หากคุณรู้สึกว่าคุณต้องกระโดดฮ็อพหลายครั้งเพื่อดูเรซูเม่ที่ควรเป็นคำเตือนว่ามีบางอย่างผิดปกติ บางทีคนที่อยู่เบื้องหลังอีเมลนั้นไม่สนใจงานจริงๆ
