網(wǎng)絡詐騙軟件近年來層出不窮,而且每當研究人員找到檢測方法和防護技術時���,它都能快速的找到躲避檢測的方法或者進行變種。近日��,Bitdefender的安全專家又披露了一種新型勒索軟件CryptoWall��,攻擊者使用了看似安全的.Chm格式幫助文件���。
勒索軟件CryptoWall
CryptoWall在網(wǎng)絡敲詐生態(tài)系統(tǒng)中是最為流行的一種勒索軟件�����,也是CryptoLocker的升級版本��,一種通過將文件加密來勒索用戶的惡意軟件��。通常�,它會偽裝成無害的應用程序或者文件。CryptoWall的攻擊Payload會加密受害者電腦中的文件�,鎖住受害者的屏幕,讓受害者不得不“支付贖金”來解密����。
在2014年2月至8月這6個月中受CryptoWall感染的用戶達600000個,收到的贖金約在100萬美元左右����,攻擊者每次索要的金額從100美元到500美元不等。
在最新變種中�,攻擊者采取了一種低調而有效的方式,在受害人機器上偷偷加密正常文件�����,并主動執(zhí)行惡意軟件�。而這次CryptoWall利用的是.Chm附件。
.Chm文件因何變得危險
.Chm文件格式是HTML文件格式的擴展�����,它本來是一種用于給軟件應用程序作用戶手冊的特殊文本格式�。簡單來說,HTML文件格式被壓縮和重整以后����,就被制成了這種二進制的.Chm擴展文件格式。通常����,.Chm文件格式由壓縮的HTML文件、圖像���、Javascript這些文件組合而成�����,同時�,它可能還帶有超鏈接目錄�、索引以及全文檢索功能。
這些.Chm文件有著較多的用戶交互���,并且采用了一系列的技術��。其中包含的Javascript代碼自不用多說�,它可以在你打開.Chm文件時,直接重定向到一個外部鏈接�。也就是說,用戶只要打開一次這類文件���,里面包含的惡意代碼就可能主動運行�����。這似乎給人一種感覺��,即用戶交互更少的時候�����,感染的機會反而更大��。
真實案例分析
下面這份來自內網(wǎng)的傳真郵件樣本�,讓我們不得不相信���,這些郵件是為了滲透各大公司而特別打造的�。
小編推薦閱讀
