資安公司Uptycs在6月發現的勒索軟體即服務Cyclops,於7月經過品牌再造重新命名為Knight,並且推出資料洩漏網站,以及適合批次發布的Knight Lite精簡版。Sophos研究員Felix Weyne近期於一個垃圾郵件活動中,發現Knight的蹤跡,而外國資安媒體《BleepingComputer》進一步分析,發現這些釣魚電子郵件包含了HTML附件,誘使受害者點擊並下載勒索軟體。不過,目前尚未有受害者的資料被公布在資料洩漏網站上,
資安業者Uptycs在6月的時候發現了Cyclops,這款勒索軟體工具被以服務的形式銷售,當買家利用該工具發動攻擊並成功收取贖金,工具賣家將獲得贖金抽成。Cyclops的多項工具都是以Go語言開發而成,該勒索軟體的特別之處,在於能跨Windows、Linux、macOS作業系統發動攻擊。而在加密受害者系統檔案之前,還會偷偷先以竊資軟體將特定類型資料回傳伺服器,以便在之後進行雙重勒索。
Sophos研究員Felix Weyne透過靜態方法偵測到Knight勒索軟體,Knight勒索軟體會注入到由VMWare簽署的7-zip二進位檔案,包裝在名為TripAdvisor Complaint的壓縮檔中,透過社交工程攻擊,試圖誘騙用戶點擊假冒為TripAdvisor投訴文件,實際上卻是包含勒索軟體的惡意網頁。
《BleepingComputer》研究人員深入分析該釣魚活動,發現當用戶打開信件中夾帶的HTML檔案,該檔案會使用BitB (Browser-in-the-Browser)攻擊技術,在瀏覽器中嵌入一個偽造的TripAdvisor登入頁面,這個假瀏覽器視窗佯裝成由餐廳提交的投訴文件,並要求用戶查看,一旦用戶點擊閱讀投訴的按鈕,系統便會下載惡意Excel擴充檔案類型XLL檔案。
用戶只要打開XLL檔案便會執行惡意軟體,當該擴充套件項目啟動,便會使Knight Lite勒索軟體加密器被注入到explorer.exe中,並開始加密電腦上的檔案。Knight在加密檔案時,會將.knight_l添加到加密檔案的文件名稱中,其中l可能代表著Lite。勒索軟體還會在每個資料夾創建一個名為How To Restore Your Files.txt的檔案,上面寫著受害者只需支付5,000美元的比特幣,便可救回遭加密的檔案。
但是《BleepingComputer》發現,駭客在每個勒索信文件檔都使用同一個加密錢包,攻擊者可能不知道哪些受害者已經支付贖金,任何人都可以宣稱是款項的擁有人,因此即便受害者支付贖金,也可能無法收到解密器。
熱門新聞
2024-11-29
2024-12-02
2024-11-30
2024-11-29
2024-11-29
2024-11-29
2024-11-29