Video: I Made 3 Meals With 1 Can Of Spam • Tasty (Ottobre 2024)
Non tutti gli attacchi via e-mail sembrano provenire da famiglie di despoti depositati, venditori che vendono droghe miracolose o compagnie di navigazione che ti ricordano una consegna. Alcuni sembrano individui sfortunati in cerca di lavoro. E in questa economia, conosciamo tutti almeno una persona che invia curriculum a tutti quelli che conoscono nella speranza di ottenere un'intervista.
Ma come ha detto Cloudmark nella sua ultima presentazione di Tasty Spam, "Non essere tentato da curriculum inattesi". Possono morderti, duro.
Cloudmark ha recentemente visto una campagna di ransomware consegnata sotto forma di un curriculum falso, ha detto il ricercatore Andrew Conway. L'attacco in sé non è semplice e la ricetta deve aprire più volte il file dannoso, ma è ancora abbastanza efficace che molte vittime sono state colpite.
Conway ha descritto i vari passaggi della campagna:
L'e-mail di attacco proviene da un account Yahoo! Account di posta e ha un file che pretende di essere un curriculum allegato. Conway ha sottolineato i quattro segnali di avvertimento nel messaggio: era un messaggio non richiesto; il mittente non ha fornito un cognome; il curriculum è stato inviato come file.zip; e vi sono errori negli errori grammaticali, di punteggiatura o di ortografia.
"Qualcuno che ha effettivamente presentato un curriculum rileggerebbe il proprio lavoro", ha detto Conway.
Quando il destinatario apre il file.zip, troverà un file html con un nome come resume7360.html . Il fatto che il curriculum sia in formato.html è un'altra bandiera rossa, considerando che la maggior parte dei curriculum sono inviati come documenti di testo, PDF o Word. "Certo, è una cattiva idea aprire anche file PDF e Word non richiesti", ha detto Conway.
Un esempio del file HTML di attacco è simile al seguente:
Quando il destinatario tenta di aprire il file, il browser tenta di caricare l'URL nel tag IFRAME. "È lo stesso che forzare l'utente a fare clic su un collegamento", ha dichiarato Conway, rilevando che in questo caso il collegamento punta a un server Web compromesso. L'URL carica ancora un altro file HTML, che ha un collegamento di reindirizzamento che punta a un collegamento di Google Documenti.
Il reindirizzamento utilizza un tag meta refresh, che in genere viene utilizzato per aggiornare il contenuto di una pagina Web in tempo reale. Un meta aggiornamento a una pagina Web su un dominio diverso è generalmente dannoso. La maggior parte delle persone userebbe il reindirizzamento HTTP o JavaScript per ottenere questo risultato, non un meta-aggiornamento. Per tua informazione, il codice HTML dalla pagina di destinazione compromessa è simile al seguente:
Il link di Google Documenti scarica un altro file zip chiamato my_resume.zip e contiene un file con un nome come my_resume_pdf_id_8412-7311.scr . "Un file scaricato casualmente da Internet. Pericolo, Will Robinson!" disse Conway.
Il suffisso.scr è per gli screen saver di Windows, ma sono essenzialmente file eseguibili appositamente formattati per Windows. L'estensione.scr viene spesso utilizzata per distribuire malware agli utenti ignari. Quando la vittima apre il file.scr, viene attivato il ransomware. Tutti i loro file sono crittografati e vengono presentati con una fattura di centinaia di dollari per riaverli di nuovo.
Conway ha sollevato un punto interessante su questa campagna di ransomware. L'aggressore ha dovuto compiere così tanti passaggi contorti perché i moderni strumenti di filtro antivirus e antispam sono abbastanza efficaci che l'unico modo per riuscire è quello di mettere insieme più passaggi per aggirare le difese. Se senti di dover saltare più hoppos solo per visualizzare un curriculum, dovrebbe essere un avvertimento che qualcosa non va. Forse quella persona dietro l'e-mail non è davvero interessata a un lavoro.
