標題:勒索病毒 TorrentLocker 變種,改利用 Dropbox 帳號散布
摘要:
TorrentLocker 勒索病毒在沉寂了好一陣子之後最近又開始活躍起來,出現了多個新的變種。這些新的變種會利用 Dropbox 帳號來散布,印證了我們的 2017 年預測:勒索病毒將持續演化出新的攻擊管道。
儘管 TorrentLocker 勒索病毒已過了它的巔峰期,但它至今依然活躍,而且由於偵測率不高,因此歹徒一直能夠暗中攻擊不知情的受害者。
新的 TorrentLocker 變種在攻擊時,會先假冒受害者的供應商,用電子郵件寄一份發票給受害者。而這份「發票」不是隨信附上,而是透過一個 Dropbox 連結來下載。除此之外,為了增加郵件的真實性,郵件內容還包含了帳單、發票和帳戶編號等資訊。TorrentLocker之所以使用 Dropbox 連結,就是為了躲過郵件閘道防護產品的偵測,因為郵件當中不含附件,而是使用指向正派網站的連結。
使用者一旦點選了郵件中的連結,就會下載一個 JavaScript 檔案 (JS_NEMUCOD) 到電腦上,這就是假發票。當使用者試圖開啟這份假發票時,會再下載另一個經過編碼的 JavaScript 檔案到記憶體中,進而下載 TorrentLocker 的惡意程式碼到系統中執行。
有鑑於 TorrentLocker 新變種與其他類似勒索病毒所採用的欺騙手法,企業應該格外小心提防社交工程攻擊。
引用來源:
https://blog.trendmicro.com.tw/?p=48920