据外媒 7 月 14 日报道,网络安全协会 SANS Institute 研究人员近期发现攻击者利用垃圾邮件通过 .zip 附带的恶意 JavaScript 文件感染 Windows 设备。一旦受害者点击邮件,系统将自动下载并安装勒索软件 NemucodAES 与 Kovter。
NemucodAES 是 Nemucod 木马下载器的新变种,早于 2016 年就已用其传播勒索软件 Locky 与 TeslaCrypt。Kovter 则是一款感染后难以检测与移除的恶意软件,攻击者不仅可用于实施欺诈,还可窃取用户个人信息、下载其他恶意软件或访问目标系统设备。
调查显示,垃圾邮件将恶意 .zip 存档伪装成联合包裹服务通知,以诱导受害者点击查看。目标系统在感染勒索软件 NemucodAES 后解压出恶意 JavaScript 文件并发出 HTTP 请求,从而通过 RSA-2048 与 AES-128 算法加密系统文件。一旦受害者系统文件被攻击者加密,将被要求缴纳约 1,500 美元赎金。不过,由于恶意 JavaScript 文件极易检测识别,因此用户系统的安全软件将会自动筛选过滤,以防系统下载勒索软件。
Kovter 感染目标系统后将会加密端口 80、443 与 8080 上的各种 IP 流量。至于 Kovter 攻击活动,似乎仅限于检查并输出命令与控制流量,与其他恶意软件相关的典型欺诈流量相比截然不同。目前,研究人员尚不清楚攻击者的真正意图。
原作者:Tom Spring,译者:青楚
from hackernews.cc.thanks for it.