在PDF中找到诱饵文件丢弃Jaff Ransomware

  • 时间:
  • 浏览:25
  • 来源:it300
在PDF中找到诱饵文件丢弃Jaff Ransomware Trustwave安全研究人员表示,分发Jaff勒索软件的垃圾邮件活动已经发展并使用隐藏在恶意PDF附件中的多个诱饵文件。

Jaff是一个新的勒索软件家族,于5月初出现,并已分发通过臭名昭着的Necurs垃圾邮件僵尸网络。在去年推动恶意垃圾邮件激增之后,Necurs在2016年12月陷入黑暗,但在2017年4月才回归。

洛克勒索软件历史上与Necurs僵尸网络发布的垃圾邮件有关,于12月宣布为沉默好吧,四月只做了一次简短的回归。截至5月初,Necurs转而分发Jaff勒索软件并继续这样做。

其原因似乎很简单:Jaff据说是由同一组开发的后来Locky和Dridex考虑使用以前与这些威胁相关的资源。第一个Jaff变体甚至使用类似于Locky的赎金票据,但第二个变体采用了重新设计的,以及其他一些变化。

分发活动使用附加到垃圾邮件的PDF文件,但使用Word文档藏在里面。电子邮件主题的范围从假发票通知到虚假付款收据,从涉嫌图像扫描到随机文件副本。

最终目标保持不变:P​​DF文件中的Word文档旨在下载和删除恶意软件可执行然而,据Trustwave称,PDF广告系列几乎每天都在发展,在最近的附件中发现了大量的嵌入式文件,额外的混淆层。

“这些附加文件什么都不做,可能只是诱饵。但主要的.docm文件及其恶意宏仍然充当恶意软件下载程序,“Trustwave的Homer Pacag解释说。

PDF文件包含一个exportDataObject启动指令,用于删除和启动嵌入的.docm文件。启用后,Word文档的vbaProject宏组件开始从特定URL下载Jaff勒索软件。

在过去一周左右,通过Necurs传递的Jaff变体将.wlu扩展名附加到加密文件(最初的变体是使用.jaff扩展名)。但是,它继续使用相同的URL来引导受害者恢复加密文件。

相关:新的Jaff Ransomware Var出现了

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01