勒索软件 NemucodAES 与 Kovter 新变种通过垃圾邮件感染 Windows 设备

据外媒 7 月 14 日报道,网络安全协会 SANS Institute 研究人员近期发现攻击者利用垃圾邮件通过 .zip 附带的恶意 JavaScript 文件感染 Windows 设备。一旦受害者点击邮件,系统将自动下载并安装勒索软件 NemucodAES 与 Kovter。

NemucodAES 是 Nemucod 木马下载器的新变种,早于 2016 年就已用其传播勒索软件 Locky 与 TeslaCrypt。Kovter 则是一款感染后难以检测与移除的恶意软件,攻击者不仅可用于实施欺诈,还可窃取用户个人信息、下载其他恶意软件或访问目标系统设备。

调查显示,垃圾邮件将恶意 .zip 存档伪装成联合包裹服务通知,以诱导受害者点击查看。目标系统在感染勒索软件 NemucodAES 后解压出恶意 JavaScript 文件并发出 HTTP 请求,从而通过 RSA-2048 与 AES-128 算法加密系统文件。一旦受害者系统文件被攻击者加密,将被要求缴纳约 1,500 美元赎金。不过,由于恶意 JavaScript 文件极易检测识别,因此用户系统的安全软件将会自动筛选过滤,以防系统下载勒索软件。

勒索软件 NemucodAES 与 Kovter 新变种通过垃圾邮件感染 Windows 设备

Kovter 感染目标系统后将会加密端口 80、443 与 8080 上的各种 IP 流量。至于 Kovter 攻击活动,似乎仅限于检查并输出命令与控制流量,与其他恶意软件相关的典型欺诈流量相比截然不同。目前,研究人员尚不清楚攻击者的真正意图。

原作者:Tom Spring,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索软件 NemucodAES 与 Kovter 新变种通过垃圾邮件感染 Windows 设备

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论