Locky Ransomware dystrybuowane za pośrednictwem ataku DDE

Computer Security News

Locky ransomware niedawno zmienił jego techniki ataku ponownie, stara się uniknąć wykrycia i poprawić odsetek infekcji.

Wśród nowych metod dystrybucji jest użycie protokołu dynamicznej wymiany danych (DDE, Dynamic Data Exchange), który umożliwia aplikacji systemu Windows do przesyłania danych między nimi.

Protokół DDE oferuje zestaw komunikatów i wytycznych i używa udostępnionych pamięci do wymiany danych między aplikacjami.

Hakerzy znaleźli sposób użycia DDE z dokumentów pakietu Office i automatyczne uruchomienie złośliwego oprogramowania bez przy użyciu makra.

DDE, który pozwala aplikacji pakietu Office, ładowania danych z innej aplikacji pakietu Office, może być obsługiwany, chociaż został on zastąpiony przez Microsoft z łączenia i osadzania obiektów (OLE).

Jakiś czas temu, eksperci bezpieczeństwa zauważyłem tej samej techniki, który był zatrudniony przez grupy hakerskie FIN7 w DNSMessenger atakami złośliwego oprogramowania.

Według Internet Storm Center (ISC) obsługi Brad Duncan może być również związane z Hancitor kampanii złośliwego oprogramowania, który został zarejestrowany w zeszłym tygodniu.

Duncan mówi, że Locky przyjęła również korzystanie z dokumentów pakietu Office i DDE dla infekcji. Zostały one dołączone do wiadomości przebrany za faktury i dostarczane za pośrednictwem wiadomości e-mail będących spamem, pochodzący z Necurs.

Analizowane atak używany pierwszego etapu malware, które osiągnąć trwałości na zainfekowanym systemie. Z drugiej strony Locky pliku binarnego został usunięty po wystąpieniu infekcji.

Niemniej jednak wykorzystanie DDE do zakażenia jest tylko jedną z metod stosowanych przez Locky ransomware.

Zgodnie z Trend Micro Necurs również rozproszone zagrożenia poprzez załączniki HTML, faktur, dokumentów programu Word osadzonych z złośliwego kodu makr lub Visual Basic skryptów (VBS), złośliwych adresów URL w wiadomości e-mail będących spamem i VBS, JS, w przebraniu i zarchiwizowane przez RAR, ZIP pliki JSE lub 7ZIP.

Niedawno naukowcy zaobserwowali kampanii napędzany Necurs dystrybucji, które padały TrickBot bankowych Trojan przez samo prowadzenie Locky ransomware załączniki.


Leave a Reply

Your email address will not be published. Required fields are marked *