Video: I Made 3 Meals With 1 Can Of Spam • Tasty (November 2024)
Inte alla e-postbaserade attacker verkar komma från familjer med avsatta förvaringar, säljare som utreder mirakelläkemedel eller rederier som påminner dig om en leverans. Vissa ser ut som olyckliga individer som söker ett jobb. Och i denna ekonomi känner vi alla åtminstone en person som skickar CV till alla de känner i hopp om att landa en intervju.
Men som Cloudmark sade i sitt senaste Tasty Spam-inlämnande, "Låt dig inte frestas av oväntade återupptagningar." De kan bita dig, hårt.
Cloudmark såg nyligen en ransomware-kampanj levererad i form av en falsk CV, sa forskaren Andrew Conway. Attacken i sig är inte enkel och receptet måste öppna den skadliga filen flera gånger, men den är fortfarande tillräckligt effektiv för att många offer har drabbats.
Conway beskrev kampanjens olika steg:
Attackmailen kommer från en Yahoo! E-postkonto och har en fil som påstås vara en CV bifogad. Conway påpekade de fyra varningstecknen i meddelandet: det var ett oönskat meddelande; avsändaren gav inte ett efternamn; CVen skickades som en.zip-fil; och det finns fel i grammatik, skiljetecken eller stavning.
"Någon som verkligen skickar in ett CV skulle korrekturläsa sitt arbete, " sa Conway.
När mottagaren öppnar.zip-filen hittar han eller hon en html-fil med ett namn som resume7360.html . Det faktum att CVen är i.html-format är en annan röd flagga, med tanke på att de flesta CV skickas som text-, PDF- eller Word-dokument. "Naturligtvis är det en dålig idé att öppna oönskade PDF- och Word-filer också, " sa Conway.
Ett exempel på attack-HTML-filen ser ut så här:
När mottagaren försöker öppna filen kommer webbläsaren att försöka ladda url-adressen i IFRAME-taggen. "Det är samma sak som att tvinga användaren att klicka på en länk, " sa Conway och noterade att i detta fall pekar länken på en kompromitterad webbserver. Webbadressen laddar ytterligare en HTML-fil som har en omdirigeringslänk som pekar på en Google Docs-länk.
Omdirigeringen använder en meta-uppdateringstagg, som vanligtvis används för att uppdatera innehållet på en webbsida i realtid. En metauppdatering till en webbsida på en annan domän är vanligtvis skadlig. De flesta använder HTTP-omdirigering eller JavaScript för att göra detta, inte en metauppdatering. Bara för din information ser HTML från den komprometterade målsidan så här:
Länken Google Docs hämtar en annan zip-fil som heter my_resume.zip och innehåller en fil med ett namn som my_resume_pdf_id_8412-7311.scr . "En fil som släppts slumpmässigt från Internet. Fara, Will Robinson!" sa Conway.
.Scr-suffixet är för Windows skärmsläckare, men de är i huvudsak speciellt formaterade körbara filer för Windows..Scr-förlängningen används ofta för att leverera skadlig programvara till intetanande användare. När offret öppnar.scr-filen utlöser det ransomware. Alla deras filer är krypterade och de får en räkning på hundratals dollar för att få dem tillbaka igen.
Conway tog upp en intressant punkt om denna ransomware-kampanj. Angriparen var tvungen att vidta så många vikta steg eftersom moderna antivirus- och skräppostfiltreringsverktyg är tillräckligt effektiva för att det enda sättet att lyckas är att kedja ihop flera steg för att kringgå försvaret. Om du känner att du måste hoppa flera hoppos bara för att se en CV, bör det vara en varning för att något är fel. Kanske är personen bakom e-postmeddelandet inte riktigt intresserad av ett jobb.
