勒索软件 NemucodAES 与 Kovter 新变种通过垃圾邮件感染 Windows 设备

据外媒 7 月 14 日报道，网络安全协会 SANS Institute 研究人员近期发现攻击者利用垃圾邮件通过 .zip 附带的恶意 JavaScript 文件感染 Windows 设备。一旦受害者点击邮件，系统将自动下载并安装勒索软件 NemucodAES 与 Kovter。

NemucodAES 是 Nemucod 木马下载器的新变种，早于 2016 年就已用其传播勒索软件 Locky 与 TeslaCrypt。Kovter 则是一款感染后难以检测与移除的恶意软件，攻击者不仅可用于实施欺诈，还可窃取用户个人信息、下载其他恶意软件或访问目标系统设备。

调查显示，垃圾邮件将恶意 .zip 存档伪装成联合包裹服务通知，以诱导受害者点击查看。目标系统在感染勒索软件 NemucodAES 后解压出恶意 JavaScript 文件并发出 HTTP 请求，从而通过 RSA-2048 与 AES-128 算法加密系统文件。一旦受害者系统文件被攻击者加密，将被要求缴纳约 1,500 美元赎金。不过，由于恶意 JavaScript 文件极易检测识别，因此用户系统的安全软件将会自动筛选过滤，以防系统下载勒索软件。

Kovter 感染目标系统后将会加密端口 80、443 与 8080 上的各种 IP 流量。至于 Kovter 攻击活动，似乎仅限于检查并输出命令与控制流量，与其他恶意软件相关的典型欺诈流量相比截然不同。目前，研究人员尚不清楚攻击者的真正意图。

原作者：Tom Spring，译者：青楚

from hackernews.cc.thanks for it.