勒索软件 locky 出现新型变种:依赖僵尸网络 necurs 与 dde 机制展开新一轮攻击浪潮
2017-11-13 09:11:20
hackernews.cc 11 月 12 日消息,网络安全公司 avira 研究人员近期发现勒索软件 出现新型变种,不仅可以通过僵尸网络 necurs 开展大规模钓鱼攻击活动,还可利用动态数据交换(dde)协议进行数据传输,从而规避安全软件检测的同时窃取用户重要信息。
研究显示,目前黑客主要通过合法的 libre 与 office 文件肆意分发恶意软件。一旦用户打开该恶意文件后系统将会自动触发一系列程序,从而最终在受害设备上对用户文件进行加密处理后发送到指定 c&c 服务器。研究人员在分析该恶意文件时还发现其中包含一份 lnk 文档,允许黑客通过粘贴的方式将命令复制到用户文本编辑器中,以便运行 powershell 脚本。
研究人员表示,该脚本内容清晰、极易阅读,其目的是从脚本嵌入的链接中下载另一个 powershell 脚本并通过 invoke-expression 函数运行。然而,第二个脚本所连接的服务器由黑客控制,并在下载该脚本时自动运行一份 windows 可执行文件,其中包含多个阶段的混淆代码,以致诱导用户认为这是一个安全的文件。目前,研究人员认为勒索软件 locky 的快速演变在当今的威胁领域中着实令人担忧,因为它还将继续进行深度 “优化”,从而感染更多设备。
原作者:pierluigi paganini,译者:青楚
本文由 翻译整理,封面来源于网络;转载请注明“转自 hackernews.cc ” 并附上原文链接
【转自】
本站系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、凯发娱乐的版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容![声明]本站文章凯发娱乐的版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权
官方微信