0 |
По данным компании Symantec, за последние три месяца резко увеличилось количество кибератак, использующих прикрепляемые к электронной почте «заряженные» файлы Windows Script File (WSF).
Формат WSF позволяет использовать разные скриптовые языки в одном файле, открываемом и исполняемом посредством Windows Script Host (WSH). Ряд почтовых клиентов не блокируют в автоматическом режиме файлы с этим расширением, которые могут запускаться как исполняемые — отсюда их популярность у хакеров.
Этот приём в последнее время использовался в многих массовых спамовых кампаниях по распространению вымогательского ПО Locky. Только за двое суток, 3 и 4 октября, Symantec блокировала свыше 1,3 млн сообщений e-mail с вредоносным файлом WSF и с темой «Travel Itinerary». Письма рассылались от имени ведущей авиакомпании. После распаковки прикрепленного архива, если формат WSF был разрешён к выполнению на данном компьютере, происходила установка Locky.
В последовавшей за этой, другой спам-атаке, письма были озаглавлены «Complaint letter» — Symantec задержала их более 918 тыс.
«Эти недавние кампании Locky — часть более широкой тенденции. На протяжении многих последних месяцев, Symantec отметила значительный рост общего числа блокированных электронных писем с вредоносными вложениями WSF, — сообщается в блоге Symantec. — С более 22 тыс. в июне их количество «выстрелило» до более двух миллионов в июле. Сентябрь стал рекордным месяцем, в нем блокировано свыше 2,2 млн электронных писем».
Компания также сообщила, что для групп, использующих спам для распространения вирусного ПО, характерно частое изменение формата вредоносных вложений в попытках обхода антивирусных фильтров.
Спамовые рассылки Locky организовывались тем же «оператором», которого ранее использовала группа Dridex. В прежних его атаках применялись вложенные документы Word с макровирусом W97M.Downloader.
«Позднее, в этом году он перешёл на использование вредоносных вложений JavaScript (JS.Downloader), а теперь, по-видимому, мигрирует с чистого JavaScript на файлы WSF», — отметила Symantec, призвав организации сохранять осторожность в постоянно меняющемся ландшафте угроз.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |