圖片來源: 

Emsisoft

資安業者Emsisoft本周揭露了史上首款以JavaScript撰寫的勒索軟體Ransom32,Ransom32以NW.js程式來包裝惡意檔案,方便展開跨平台運作,而且採用軟體即服務(Software as a Service,SaaS)的商業運作模式來吸引駭客。

Emsisoft的安全研究人員Fabian Wosar在登入Ransom32服務並下載惡意程式之後發現了Ransom32古怪之處,相較於其他鮮少超過1MB的勒索軟體,Ransom32的檔案大小高達22MB。進而引起了研究人員的注意。

根據研究人員解析,Ransom32的檔案中含有一個chrome.exe執行檔,乍看之下很像是Google的Chrome瀏覽器,但它缺乏正確的數位簽章,而且版本資訊也與Chrome瀏覽器不同,其實它是個NW.js應用程式,含有實際的惡意程式碼以及執行惡意程式所需的框架。

NW.js為一結合Node.js與Chromium專案的JavaScript應用程式開發框架,可用來打造支援Windows、Mac OS X與Linux的應用程式,有別於瀏覽器對JavaScript程式碼的沙箱執行限制,NW.js移除了相關的限制,並允許程式直接與作業系統互動。NW.js除了允許程式在不同的平台上運作之外,也讓開發人員更容易把網路程式轉成桌面程式。

因此,雖然Wosar所發現的Ransom32是鎖定Windows平台,但他認為理論上Ransom32很容易就可轉向攻擊Mac OS X與Linux。

Wosar向Softpedia解釋,NW.js的最大優勢在於它所需的.Net或Java運行環境都已經安裝在各個系統上了,雖然目前Ransom32尚未發揮NW.js的所有潛能,但它很輕易就能辦到,而且可能成為其他駭客集團效法的對象。

另一方面,有鑑於NW.js是個合法的框架與程式,在現身兩周後還是只有極少數的防毒產品有能力辨識它,包括Emsisoft、AVware與VIPRE。

McAfee Labs去年9月即曾警告,加密使用者裝置資料以要求贖金的勒索軟體成長非常快速,駭客之間不但已經形成專業的支援架構,而且技術日益精進,甚至進階到鎖定企業的網路資料庫與備份。Wosar則說,防範勒索軟體的第一要務仍是完善的備份策略,其次才是採用有效的防毒軟體。


Advertisement

更多 iThome相關內容