`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Новости

Файлы Windows Script — новый фаворит кибервымогателей

17 октября 2016 г., 12:15
0 
 

По данным компании Symantec, за последние три месяца резко увеличилось количество кибератак, использующих прикрепляемые к электронной почте «заряженные» файлы Windows Script File (WSF).

Формат WSF позволяет использовать разные скриптовые языки в одном файле, открываемом и исполняемом посредством Windows Script Host (WSH). Ряд почтовых клиентов не блокируют в автоматическом режиме файлы с этим расширением, которые могут запускаться как исполняемые — отсюда их популярность у хакеров.

Этот приём в последнее время использовался в многих массовых спамовых кампаниях по распространению вымогательского ПО Locky. Только за двое суток, 3 и 4 октября, Symantec блокировала свыше 1,3 млн сообщений e-mail с вредоносным файлом WSF и с темой «Travel Itinerary». Письма рассылались от имени ведущей авиакомпании. После распаковки прикрепленного архива, если формат WSF был разрешён к выполнению на данном компьютере, происходила установка Locky.

В последовавшей за этой, другой спам-атаке, письма были озаглавлены «Complaint letter» — Symantec задержала их более 918 тыс.

«Эти недавние кампании Locky — часть более широкой тенденции. На протяжении многих последних месяцев, Symantec отметила значительный рост общего числа блокированных электронных писем с вредоносными вложениями WSF, — сообщается в блоге Symantec. — С более 22 тыс. в июне их количество «выстрелило» до более двух миллионов в июле. Сентябрь стал рекордным месяцем, в нем блокировано свыше 2,2 млн электронных писем».

Компания также сообщила, что для групп, использующих спам для распространения вирусного ПО, характерно частое изменение формата вредоносных вложений в попытках обхода антивирусных фильтров.

Спамовые рассылки Locky организовывались тем же «оператором», которого ранее использовала группа Dridex. В прежних его атаках применялись вложенные документы Word с макровирусом W97M.Downloader.

«Позднее, в этом году он перешёл на использование вредоносных вложений JavaScript (JS.Downloader), а теперь, по-видимому, мигрирует с чистого JavaScript на файлы WSF», — отметила Symantec, призвав организации сохранять осторожность в постоянно меняющемся ландшафте угроз.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

  

Ukraine

Последние обсуждения

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT