OPM 数据泄露事件余波:Locky 利用了从受害者窃取的数据

Locky 病毒被认为是今年上半年最活跃的网络感染之一。然而,随着其扩张的分布方法,这种病毒不会这么放弃它的领先地位。事实上,目前估计大约 97% 的恶意电邮附件都附带了 Locky病毒本身或其修改版本,其中的这些版本是ThorShit virusPerl ransomware 以及可能一些专家都还不知道的其他恶意 Locky 重版。

谈到关于 Locky 的分布和渗入方法,如果说每天没有新的东西需要学习,那我们可能是错的。举个例子说,在十一月初,病毒分析员已经透露说,另一个主要的恶意广告活动正在通过 Bizarro Sundown 漏洞工具传播两个版本的 Locky。除了 Locky 开发者最初使用的 Angler and Rig 漏洞工具,这是一个新的及危险的病毒分布方法,但可能对普通用户带来好处的最重要发现是来自 PhishMe 团队。

PhishMe 研发人员发现一个新的流量,这是黑客使用来欺骗用户下载带有 Locky 酬载的电邮附件,专家将这个称为 OPM Bank Fraud (银行欺诈)或 OPM 诈骗。OPM 是 US Office of Personnel Management (美国人事管理办公室 )的缩写,黑客使用这个机构的名称来传送诈骗通知给他们的潜在受害者,警告受害者有关伪造的财务犯罪,用户会收到以下的讯息:

Dear [NAME],
Carole from the bank notified us about the suspicious movements on out account. Examine the attached scanned record. If you need more information, feel free to contact me.

这封电邮附带了一个 ZIP 文件,这个文件隐藏着感染性的JavaScript 文件。一旦用户打开这个文件,Locky 的下载就会马上启动。有趣的是该病毒专门针对在 2014 和2015 发生的 OPM 数据泄露事件事情的受害者。换句话说,Locky 创建者利用了之前网络犯罪受害者的恐惧来感染他们的计算机。为了掩盖他们的踪迹,在病毒酬载从 78 个 不同的网址下载时,黑客们使用了超过 323 独特的附件名称。这样的做法模糊了病毒的检测和预防,一般来说,就是把勒索软件的分布带到另一个层面。因此,强烈建议公司持有人通知其员工有关在线安全的预防措施,并选择一个值得信赖的数据备份解决方案。

关于作者
Linas Kiguolis
Linas Kiguolis

精通于对抗恶意软件、病毒及间谍软件...

联系 Linas Kiguolis
关于 Esolutions 公司

以其他语言阅读