Ransomware от картинка на Supermario

Ransomware от картинка на Supermario
ransomware

ПРИКАЧЕН ФАЙЛ ИЗГРАЖДА RANSOMWARE DOWNLOADER ОТ КАРТИНКА НА SUPERMARIO

Беше открита злонамерена електронна таблица, която изгражда команда на PowerShell от отделни пиксели в изтеглено изображение на Mario от Super Mario Bros. Когато бъде изпълнена, тази команда ще изтегли и инсталира злонамерения софтуер GandCrab Ransomware и друг зловреден софтуер.

Тази атака работи, когато получателите получат имейл с известие за успешно плащане, насочен към хора от Италия.

ransomware

Тези имейли съдържат прикачен файл с имена, подобни на “F.DOC.2019 259 SPA.xls“, който при отваряне, казва  на потребителя да разреши съдържанието, за да вижда правилно документа.

След като съдържанието е активирано, неговите макроси ще бъдат задействани, за да проверят дали компютърът е конфигуриран да използва региона на Италия. Ако не, той ще излезе от електронната таблица и нищо друго няма да се случи.

Макросът изглежда така:

ransomware

Ако те се намират в Италия, се изтегля следното изображение на Марио. Изображението по-долу е леко променено, така че да не може да се използва за злонамерени цели.

ransomware

Според изследователи от екипа на Ян Прат, които са анализирали тази атака, след като изображението е изтеглено, скриптът ще извлече различни пиксели от изображението, за да възстанови командата PowerShell, която след това ще бъде изпълнена.

“Горепосоченият код намира следващото ниво на код от синия и зеления канал от пиксели в малка област на изображението”, заяви Гаурав Бамби. “По-ниските битове на всеки пиксел се използват като корекции за тях и водят до минимални различия спрямо възприеманото изображение. Изпълняването на това представя още по-силно объркано PowerShell

Тази команда PowerShell ще изтегли зловреден софтуер от отдалечен сайт, който след това ще изтегли още зловреден софтуер, като GandCrab Ransomware.

ransomware

Стеганографските атаки не са нови и се използват по-често, за да се избегне откриването от програми за сигурност. Съвсем наскоро бе открита кампания за злоупотреба, която използва стеганография за инсталиране на полезен товар, скрит в рекламни изображения.

Както винаги, много е важно да бъдете внимателни, когато става въпрос за прикачени файлове, тъй като те са силно използван метод за разпространение на зловреден софтуер. За да бъдете обезопасени, винаги сканирайте прикачените файлове, преди да ги отворите, и бъдете двойно подозрителни, ако съдържат макроси, които трябва да бъдат активирани, за да виждат документа правилно. Разбира се, продукти като Adaptive Defense на Panda Security стопират този тип атаки още в зародиш чрез пълен одит на стартираните процеси в компютъра. Подобен тип атаки се обезвреждат успешно още на първата стъпка.

Източник: По материали от интернет

Сподели в:

Категории:

Следвай ни в: