Locky Ransomware diedarkan melalui serangan DDE

Computer Security News

Locky ransomware telah menukar serangan teknik lagi, cuba untuk mengelakkan pengesanan dan meningkatkan kadar jangkitan.

Antara kaedah yang baru pengagihan adalah penggunaan protokol Pertukaran Data dinamik (DDE) yang membolehkan aplikasi Windows untuk memindahkan data antara mereka.

Protokol DDE mempunyai satu set mesej dan garis panduan dan kegunaan ingatan untuk bertukar-tukar data antara aplikasi yang dikongsi bersama.

Penggodam ditemui bagaimana untuk menggunakan DDE dengan dokumen Office dan perisian berniat jahat secara automatik berjalan tanpa menggunakan makro.

DDE, yang membolehkan suatu aplikasi pejabat yang memuatkan data dari aplikasi pejabat yang lain, terus disokong, walaupun ia kemudiannya digantikan dengan Microsoft dengan menghubungkan objek dan pemupukan (OLE).

Beberapa waktu yang lalu, pakar Keselamatan perasan teknik yang sama yang digunakan oleh Kumpulan hacking FIN7 dalam serangan malware DNSMessenger.

Menurut pengendali Internet Pusat ribut (ISC) Brad Duncan, ia juga boleh dikaitkan dengan kempen malware Hancitor yang dicatatkan minggu lepas.

Duncan berkata bahawa Locky telah menerimapakai penggunaan dokumen Office dan DDE jangkitan. Mereka telah dilampirkan ke mesej yang menyamar sebagai invois dan dihantar melalui e-mel spam yang berasal dari Necurs.

Serangan itu dianalisis menggunakan perisian perosak peringkat pertama yang dicapai kekal pada sistem yang terjejas. Di sisi lain, dedua Locky yang telah dihapuskan selepas jangkitan.

Walau bagaimanapun, penggunaan DDE jangkitan adalah hanya salah satu daripada kaedah-kaedah yang digunakan oleh Locky ransomware.

Mengikut Trend Micro, Necurs juga diedarkan ancaman melalui lampiran HTML yang menyamar sebagai invois, dokumen Word yang tertanam dengan kod berniat jahat makro atau skrip Visual Basic (VBS), berniat jahat URL dalam e-mel spam, dan VBS, JS, dan fail JSE diarkibkan melalui RAR, ZIP atau 7ZIP.

Terbaru, penyelidik memerhatikan pengagihan Necurs-didorong kempen yang telah menjatuhkan TrickBot Trojan perbankan melalui sama lampiran yang membawa Locky ransomware.


Leave a Reply

Your email address will not be published. Required fields are marked *