50%

电子邮件攻击使用恶意的WSF附件激增

2018-12-24 02:11:06 

奇闻

Ransomware攻击组成新策略最常见用户之一图1使用恶意WSF文件的zip附件中最近的Locky活动示例SYMANTEC发现使用恶意Windows脚本文件(WSF)附件的电子邮件攻击数量大幅增加过去三个月Ransomware团队特别采用了这种新策略在过去两周内,赛门铁克阻止了一些涉及恶意WSF文件的Locky(RansomLocky)主要活动,WSF文件旨在允许混合使用脚本语言单个文件它们由Windows脚本宿主(WSH)打开并运行带有wsf扩展名的文件不会被某些电子邮件客户端自动阻止,并且可以像可执行文件一样启动数百万个传播Locky的垃圾邮件恶意WSF文件已用于最近发布的主要垃圾邮件活动的数量Locky例如,在10月3日至4日期间,赛门铁克阻止了1300多万封电子邮件标题为“Travel Itinerary”的主题电子邮件声称来自一家大型航空公司,并带有一个由zip文件中的WSF文件组成的附件如果WSF文件被允许运行,Locky被安装在受害者的计算机上很快之后,10月5日,同一攻击组发起了另一个大规模恶意垃圾邮件活动,赛门铁克“投诉信”赛门铁克封锁了超过918,000封这些电子邮件

该电子邮件声称来自代表客户的人,他正在就“您提供的数据文件“电子邮件中再次包含由zip文件中的WSF文件组成的附件如果允许WSF文件运行,Locky安装在受害者的计算机上向恶意WSF附件宽度转换这些最近的Locky活动是更广泛趋势的一部分在过去几个月中,赛门铁克注意到被阻止的电子邮件总数大幅增加恶意的WSF附件从6月的22,000多人中,这一数字在7月份达到了200万以上,创下了创纪录的月份,并封锁了超过2200万封电子邮件更改策略通过垃圾邮件活动传播恶意软件的组织频繁地改变使用恶意附件随着安全厂商针对某些恶意文件类型提高防御能力,攻击组将切换到其他方案,希望更多电子邮件能够通过防御措施

例如,Locky垃圾邮件活动由Dridex团队也使用的附属组织发送垃圾邮件操作以前曾使用包含恶意宏(W97MDownloader)的附加Word文档,今年早些时候,它转向使用恶意JavaScript附件(JSDownloader)

它现在似乎已经转向使用WSF文件而不是纯JavaScript(也被检测为JSDownloader)在不断变化的威胁环境中,组织需要保持警惕,并意识到威胁可能会导致威胁来自新的和未预料到的来源保护完整的保护堆栈有助于抵御这些攻击,包括可阻止电子邮件威胁的Symantec Email Securitycloud和可阻止端点上的恶意软件的Symantec Endpoint Security Symantec和Norton产品可防止恶意WSF文件以下检测:防病毒:* JSDownloader入侵防御系统:*系统感染:JSDownloader活动*系统感染:JSDownloader活动2 *系统感染:JSDownloader活动3 *系统感染:JSDownloader活动4 *系统感染:JSDownloader活动5 *系统感染: JSDownloader Activity 6 * System Infected:JSDownloader Activity 7 * System Infected:JSDownloader Activity 8 * System Infected:JSDownloader Activity 9 * System Infected:JSDownloader Activity 10 * System Infected:JSDownloader Activity 11 * System Infected:JSDownloader Activity 12 * System Infected:JSDownloader活动13 *系统感染:JSDownload呃活动23 * Web攻击:JSDownloader下载5个保护自己免受勒索软件攻击的技巧*定期备份计算机上存储的任何文件如果您的计算机确实感染了勒索软件,一旦恶意软件被移除,您的文件就可以恢复*始终保持您的安全软件保持最新,以保护自己免受恶意软件的任何新变种*保持操作系统和其他软件的更新 软件更新通常会包含针对可能被攻击者利用的新发现的安全漏洞的补丁程序*删除您收到的任何可疑电子邮件,尤其是包含链接或附件的电子邮件*对任何建议您启用宏的Microsoft Office电子邮件附件要格外警惕查看其内容除非您确定这是来自可信来源的真正电子邮件,否则请勿启用宏,而是立即删除电子邮件