Ερευνητές ασφάλειας προειδοποιούν για κακόβουλα CV attachments που διανέμουν την 3η έκδοση του Ransomware Cryptowall.
Μια νέα καμπάνια διάδοσης κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου, τα οποία φαίνεται πως περιέχουν συνημμένο ένα βιογραφικό σημείωμα υποψήφιου εργαζόμενου, εντοπίστηκε από ερευνητές ασφαλείας. H καμπάνια αποσκοπεί στην διανομή της τρίτης έκδοσης του cryptowall ransomware, το οποίο κατάφερε να περάσει από αρκετά antivirus χωρίς να ανιχνευτεί.
Η διανομή crypto-malware με τον τρόπο αυτό δεν είναι κάτι καινούργιο, όμως οι εγκληματίες του κυβερνοχώρου κάνoυν συνεχείς προσπάθειες για να αποφύγουν τον εντοπισμό, παρακάμπτοντας τους μηχανισμούς ανίχνευσης spam και κακόβουλου λογισμικού.
Όσον αφορά τη συγκεκριμένη εκστρατεία, το email που αποστέλλεται στα θύματα εμφανίζεται ως απάντηση σε προηγούμενο μήνυμα που το ίδιο το θύμα έχει στείλει. Συνημμένο στο email υπάρχει ένα αρχείο zip που περιέχει ένα έγγραφο html.
Το αρχείο αυτό ανακατευθύνει σε μια παραβιασμένη ιστοσελίδα wordpress, η οποία περιέχει ένα iframe με ανακατεύθυνση σε ένα λογαριασμό cloud του google drive, ο οποίος παραδίδει στους χρήστες ένα malware downloader. Το κακόβουλο λογισμικό εμφανίζεται ως pdf, αλλά στην πραγματικότητα είναι ένα εκτελέσιμο αρχείο (SCR).
Ο ειδικός ασφαλείας και έρευνας της Cisco, Nick Biasini, και η ομάδα του, ανέλυσαν την αλυσίδα της μόλυνσης και κατέληξαν ότι πολλοί χρήστες κατέβασαν το κακόβουλο λογισμικό που ήταν συνημμένο στο email. Επίσης ο ερευνητής ανέφερε ως παράδειγμα ότι “αν το κακόβουλο email σταλεί σε κάποιον που έχει ξεκινήσει διαδικασίες πρόσληψης και αξιολόγησης υποψηφίων, τότε είναι πολύ πιθανό να ανοίξει το συνημμένο”.
Πάρα το γεγονός ότι το cryptowall είναι πολύ γνωστό στη βιομηχανία της ασφάλειας, διανέμεται με μικρές παραλλαγές, και με τον τρόπο αυτό αποφεύγεται η ανίχνευση του.
