Trend Micro предупредила в воскресенье о новом методе распространения вымогателя Locky. Зловред, нацеленный на организации, доставлялся с помощью файлов Windows script (WSF).
Еще в мае было замечено, что киберпреступники начали использовать WSF-файлы для распространения шифровальщика Cerber. Так как метод этот является очень эффективным для того, чтобы избежать обнаружения, злоумышленники также начали использовать его для распространения Locky.
WSF-файлы - текстовые документы, которые содержат код XML, каждый файл может содержать более одного языка сценариев. Исследователи считают, что использование WSF-файлов для распространения зловредов ставит сложную задачу перед антивирусными средствами, так как обычно подобные файлы ими не контролируются. WSF-файлы могут увеличить шансы обхода песочницы и черных списков.
«Такая методика позволяет обойти антивирусные средства, включая песочницу. Кроме того, использование смешанных скриптовых языков очень затрудняет анализ подобных угроз» - в Trend Micro.
«Подобно использованию VBScript и JavaScript, WSF позволяет злоумышленникам загружать любую вредоносную нагрузку. В случае с Locky, файл вымогателя, загруженный с помощью WSF имеет другой хеш. Когда хеш отличается, детектирование с помощью черного списка становится невозможным» - добавляют в Trend Micro.
В атаках, наблюдаемых Trend Micro в прошлом месяце, злоумышленники выбрали своей целью компаний. WSF-файлы, которые доставляли Locky, были упакованы в ZIP-архивы и прикреплялись к электронным письмам с заголовками: «ежегодный доклад», «выписка из банковского счета», «база данных компании».
Были разосланы миллионы этих спам-писем, пик приходился на рабочие дни с 9 до 11 часов утра, как раз когда большинство европейских сотрудников начинают свой рабочий день. Спам шел из компьютеров в Сербии, Колумбии и Вьетнаме, затем из Таиланда и Бразилии.
После заражения компьютера Locky проверяет системный реестр, чтобы определить язык системы и отображает записку с требованием выкупа на этом языке. Этот метод также используется в других вымогателях, например, в Jigsaw, Cryptlock и Reveton.
Новый вариант Locky был замечен исследователями на бразильском сайте киберпреступников, но он также открыто распространяется в Facebook.
Сотрудницу одного из маркетинговых агентств уволили из-за неудачной шутки с использованием сгенерированного изображения. На картинке якобы была запечатлена сотрудница налоговых органов, проводящая проверку в офисе компании. Этот случай называют первым подобным инцидентом в России.
О произошедшем сообщил телеграм-канал SHOT. По его данным, 26-летняя сотрудница разместила в корпоративном чате фотографию, на которой «налоговый инспектор» якобы находился в офисе агентства с проверкой.
Появление изображения вызвало панику и серьёзный переполох среди коллег.
Позже выяснилось, что фото было сгенерировано нейросетью. Сотрудница регулярно использовала ИИ для создания изображений, в том числе на основе реальных интерьеров офиса, и ранее такие эксперименты не вызывали негативной реакции. Однако изображение с участием якобы представителей налоговых органов оказалось исключением.
После того как стало известно, что картинка является дипфейком, сотрудницу уволили. По её словам, она не расстраивается из-за произошедшего и уже ищет новую работу.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
