Locky Ransomware phân phối thông qua DDE tấn công

Computer Security News

Locky ransomware gần đây đã thay đổi các kỹ thuật tấn công một lần nữa, cố gắng để tránh phát hiện và cải thiện tỷ lệ nhiễm trùng.

Trong số những phương pháp mới của phân phối là sử dụng giao thức Dynamic Data Exchange (DDE) cho phép ứng dụng Windows để chuyển dữ liệu giữa chúng.

Giao thức DDE đặc trưng với một tập hợp các thông điệp và nguyên tắc và sử dụng bộ nhớ để trao đổi dữ liệu giữa các ứng dụng chia sẻ.

Tin tặc tìm thấy làm thế nào để sử dụng DDE với tài liệu văn phòng và phần mềm độc hại tự động chạy mà không cần sử dụng macro.

DDE, cho phép ứng dụng Office tải dữ liệu từ ứng dụng Office khác, tiếp tục được hỗ trợ, mặc dù nó đã được thay thế bởi Microsoft với các đối tượng liên kết và nhúng (OLE).

Một số thời gian trước đây, các chuyên gia bảo mật thấy kỹ thuật tương tự đã được sử dụng bởi nhóm hacker FIN7 DNSMessenger phần mềm độc hại tấn công.

Theo bộ xử lý trung tâm bão Internet (ISC) Brad Duncan, nó cũng có thể liên kết với một chiến dịch phần mềm độc hại Hancitor đã được đăng ký cuối tuần.

Duncan nói Locky cũng đã thông qua việc sử dụng các tài liệu văn phòng và DDE cho nhiễm trùng. Họ đã được gắn vào thông điệp cải trang như là hóa đơn và gửi qua email rác có nguồn gốc từ Necurs.

Cuộc tấn công phân tích sử dụng một phần mềm độc hại giai đoạn đầu tiên mà đã đạt được sự kiên trì trên hệ thống bị xâm phạm. Mặt khác, Locky nhị phân là xóa sau nhiễm.

Tuy nhiên, việc sử dụng DDE cho nhiễm trùng chỉ là một trong những phương pháp làm việc của Locky ransomware.

Theo Trend Micro, Necurs cũng phân phối các mối đe dọa thông qua HTML file đính kèm cải trang như là hóa đơn, tài liệu Word nhúng với các mã độc hại vĩ mô hoặc Visual Basic Script (VBS), độc hại các URL thư rác, và VBS, JS, và các tập tin JSE via RAR, ZIP lưu trữ hoặc 7ZIP.

Gần đây, các nhà nghiên cứu quan sát thấy chiến dịch phân phối nhiên liệu Necurs đã thả TrickBot ngân hàng Trojan thông qua cùng một tập tin đính kèm mang các Locky ransomware.


Leave a Reply

Your email address will not be published. Required fields are marked *