Locky Ransomware через DDE атаки

Computer Security News

Locky ransomware останнім часом змінилося її атаки методи знову, намагаючись уникнути виявлення і поліпшити показник інфекції.

Серед нових методик розподілу є використання протоколу динамічного обміну даними (DDE), яка дозволяє Windows додатків для передачі даних між ними.

Протоколу DDE пропонує набір повідомлень і керівних принципів і використовує Спільна пам’ять для обміну даними між додатками.

Хакери знайшов як використовувати DDE з документами Office і автоматично запускати зловмисне програмне забезпечення без використання макроси.

DDE, який дозволяє програми Office, завантажити дані з іншої програми Office, як і раніше підтримується, хоча він був замінений Microsoft зі зв’язуванням і вбудовуванням об’єктів (OLE).

Якийсь час назад, експерти безпеки помітили ту ж техніку, яка була прийнята на роботу злому гурту FIN7 в DNSMessenger шкідливих атак.

За даними інтернет буря центр (ISC) обробник Бред Дункан вона також може бути пов’язана з Hancitor шкідливих програм кампанії, яка була зареєстрована минулого тижня.

Дункан каже, що Locky також ухвалив використання документів Office і DDE для інфекції. Вони були прикріплені до повідомлень під виглядом рахунків-фактур і доставлені через спам-листи, що походять з Necurs.

Аналізуються атаки використовуються шкідливі програми першого етапу, який досяг наполегливість під загрозу системі. З іншого боку, Locky двійкові був видалений пост інфекції.

Тим не менш, використання DDE для інфекції є лише одним з методів, використовуваних Locky ransomware.

За словами Trend Micro Necurs також поширюється загрози за допомогою HTML вкладення під виглядом рахунки-фактури, вбудований з зловмисних макрокод або Visual Basic скрипти (VBS), шкідливі URL-адреси в спам і VBS, JS, документи Word і JSE файли архівуються через RAR, ZIP або 7ZIP.

Останнім часом дослідники спостерігали підживлюється Necurs розподілу кампаній, які були знижується TrickBot банківського трояна через той же вкладення, несучи Locky ransomware.


Leave a Reply

Your email address will not be published. Required fields are marked *