Video: I Made 3 Meals With 1 Can Of Spam • Tasty (November 2024)
Niet alle op e-mail gebaseerde aanvallen lijken afkomstig te zijn van families van afgezette despots, verkopers die wonderdrugs gebruiken of rederijen die u herinneren aan een levering. Sommigen zien eruit als ongelukkige mensen die op zoek zijn naar een baan. En in deze economie kennen we allemaal minstens één persoon die CV's stuurt naar iedereen die ze kennen in de hoop op een interview.
Maar zoals Cloudmark zei in de laatste inzending van Tasty Spam: "Laat je niet verleiden door onverwachte cv's." Ze kunnen je bijten, hard.
Cloudmark zag onlangs een ransomware-campagne geleverd in de vorm van een nep-cv, zei onderzoeker Andrew Conway. De aanval zelf is niet eenvoudig en de receptint moet het schadelijke bestand meerdere keren openen, maar het is nog steeds effectief genoeg dat veel slachtoffers zijn getroffen.
Conway beschreef de verschillende stappen van de campagne:
De aanvalse-mail is afkomstig van een Yahoo! Mail-account en heeft een bestand dat als cv is bijgevoegd. Conway wees op de vier waarschuwingssignalen in het bericht: het was een ongevraagde bericht; de afzender heeft geen achternaam opgegeven; het CV werd verzonden als een.zip-bestand; en er zijn fouten in fouten in grammatica, interpunctie of spelling.
"Iemand die echt een CV indient, zou zijn werk proeflezen, " zei Conway.
Wanneer de ontvanger het.zip-bestand opent, vindt hij of zij een html-bestand met een naam als resume7360.html . Het feit dat het cv de HTML-indeling heeft, is een andere rode vlag, aangezien de meeste cv's als tekst-, PDF- of Word-documenten worden verzonden. "Natuurlijk is het een slecht idee om ook ongevraagde PDF- en Word-bestanden te openen, " zei Conway.
Een voorbeeld van het HTML-aanvalsbestand ziet er als volgt uit:
Wanneer de ontvanger het bestand probeert te openen, probeert de browser de URL in de tag IFRAME te laden. "Het is hetzelfde als het dwingen van de gebruiker om op een link te klikken, " zei Conway en merkte op dat de link in dit geval verwijst naar een gecompromitteerde webserver. De URL laadt nog een HTML-bestand, met een omleidingslink die naar een Google Documenten-link verwijst.
De omleiding gebruikt een meta-verversingstag, die meestal wordt gebruikt om de inhoud van een webpagina in realtime bij te werken. Een meta-vernieuwing naar een webpagina op een ander domein is meestal schadelijk. De meeste mensen zouden HTTP-omleiding of JavaScript gebruiken om dit te bereiken, geen meta-vernieuwing. Ter informatie ziet de HTML van de gecompromitteerde bestemmingspagina er als volgt uit:
De Google Documenten-link downloadt nog een zipbestand met de naam my_resume.zip en het bevat een bestand met een naam zoals my_resume_pdf_id_8412-7311.scr . "Een willekeurig van internet gedownload bestand. Gevaar, Will Robinson!" zei Conway.
Het.scr-achtervoegsel is voor Windows-screensavers, maar het zijn in wezen speciaal opgemaakte uitvoerbare bestanden voor Windows. De.scr-extensie wordt vaak gebruikt om malware aan nietsvermoedende gebruikers te leveren. Wanneer het slachtoffer het.scr-bestand opent, wordt de ransomware geactiveerd. Al hun bestanden zijn gecodeerd en ze krijgen een rekening van honderden dollars om ze weer terug te krijgen.
Conway bracht een interessant punt naar voren over deze ransomware-campagne. De aanvaller moest zoveel ingewikkelde stappen nemen, omdat moderne antivirus- en spamfiltertools effectief genoeg zijn dat de enige manier om te slagen is om meerdere stappen aan elkaar te koppelen om de verdediging te omzeilen. Als je het gevoel hebt dat je meerdere hopposs moet springen om alleen een CV te bekijken, zou dat een waarschuwing moeten zijn dat er iets mis is. Misschien is die persoon achter de e-mail niet echt geïnteresseerd in een baan.
