Video: Mira el comportamiento de un 🚨 #Ransomware y vemos cómo infecta una máquina en un entorno seguro (Noviembre 2024)
No todos los ataques basados en correo electrónico parecen provenir de familias de déspotas depuestos, vendedores que promocionan drogas milagrosas o compañías navieras que le recuerdan una entrega. Algunos parecen personas desafortunadas que buscan trabajo. Y en esta economía, todos conocemos al menos a una persona que envía hojas de vida a todos sus conocidos con la esperanza de conseguir una entrevista.
Pero como Cloudmark dijo en su último envío de Tasty Spam, "No se sienta tentado por currículums inesperados". Pueden morderte, duro.
Cloudmark recientemente vio una campaña de ransomware entregada en forma de currículum falso, dijo el investigador Andrew Conway. El ataque en sí no es sencillo y la receta tiene que abrir el archivo malicioso varias veces, pero sigue siendo lo suficientemente eficaz como para que muchas víctimas se hayan visto afectadas.
Conway describió los diversos pasos de la campaña:
El correo electrónico de ataque proviene de un Yahoo! Cuenta de correo y tiene un archivo que pretende ser un currículum adjunto. Conway señaló las cuatro señales de advertencia en el mensaje: era un mensaje no solicitado; el remitente no proporcionó un apellido; el currículum se envió como un archivo.zip; y hay errores en los errores de gramática, puntuación u ortografía.
"Alguien que realmente envíe un currículum revisará su trabajo", dijo Conway.
Cuando el destinatario abre el archivo.zip, encontrará un archivo html con un nombre como resume7360.html . El hecho de que el currículum esté en formato.html es otra señal de alerta, ya que la mayoría de los currículums se envían como documentos de texto, PDF o Word. "Por supuesto, también es una mala idea abrir archivos PDF y Word no solicitados", dijo Conway.
Una muestra del archivo HTML de ataque se ve así:
Cuando el destinatario intenta abrir el archivo, el navegador intenta cargar la URL en la etiqueta IFRAME. "Es lo mismo que obligar al usuario a hacer clic en un enlace", dijo Conway, y señaló que en este caso, el enlace apunta a un servidor web comprometido. La URL carga otro archivo HTML, que tiene un enlace de redireccionamiento que apunta a un enlace de Google Docs.
La redirección utiliza una etiqueta de meta actualización, que generalmente se usa para actualizar el contenido de una página web en tiempo real. Una meta actualización a una página web en un dominio diferente suele ser maliciosa. La mayoría de las personas usarían redireccionamiento HTTP o JavaScript para lograr esto, no una meta actualización. Solo para su información, el HTML de la página de destino comprometida se ve así:
El enlace Google Docs descarga otro archivo zip llamado my_resume.zip, y contiene un archivo con un nombre como my_resume_pdf_id_8412-7311.scr . "Un archivo descargado al azar de Internet. ¡Peligro, Will Robinson!" dijo Conway.
El sufijo.scr es para los protectores de pantalla de Windows, pero en esencia son archivos ejecutables especialmente formateados para Windows. La extensión.scr se usa con frecuencia para entregar malware a usuarios desprevenidos. Cuando la víctima abre el archivo.scr, eso activa el ransomware. Todos sus archivos están encriptados y se les presenta una factura de cientos de dólares para recuperarlos nuevamente.
Conway planteó un punto interesante sobre esta campaña de ransomware. El atacante tuvo que tomar tantos pasos complicados porque las modernas herramientas antivirus y de filtrado de spam son lo suficientemente efectivas como para que la única forma de tener éxito sea encadenar varios pasos para evitar las defensas. Si siente que tiene que saltar varios hoppos solo para ver un currículum, eso debería ser una advertencia de que algo anda mal. Tal vez esa persona detrás del correo electrónico no está realmente interesada en un trabajo.
