rssyoutubefg

שיטות חדשות להדביק אתכם בנוזקות דרך המייל

אמיר כרמי
22.03.17

הפצה של נוזקות דרך המייל היא לא משהו חדש, כ-80% מהנוזקות מופצות באופן הזה. בעקבות המודעות הגוברת לנושא, אנחנו נזהרים הרבה יותר וחושבים פעמיים לפני שאנחנו פותחים קבצים מצורפים למייל. כמובן שזה לא מוצא חן בעיניי התוקפים שצריכים לעשות הרבה מניפולציות על מנת להסיח את דעתנו ולגרום לנו לחשוב שהקבצים שהם שולחים לנו הם אמינים.

בהתקפה חדשה שנצפתה בימים האחרונים, אנחנו מזהים טרנדים חדשים - ישנים ששווה לכתוב עליהם על מנת שתכירו אותם ותהיו חכמים יותר מאותם תוקפים.
מדובר בהפצה של נוזקה דרך מייל, עם שתי שיטות הטעיה שראינו כבר בעבר, ואפילו לפני מספר שנים, אבל לא ראינו שהן היו בשימוש בשנים האחרונות. כמו מרבית הטרנדים ושיטות ההתקפה בתחום, בדרך כלל הם חוזרים בשלב מסוים.
בהתקפה הנוכחית נשלח מייל מטעה לקורבן המיועד שמכיל כביכול חשבונית בצורה של קובץ וורד מצורף. עד כאן אין חדש תחת השמש.

email infection 1

כך נראה המייל עם החשבונית המצורפת

החידוש הראשון בתפוצה הנ"ל הוא שליחת קובץ שנעול בסיסמה, על מנת לחמוק מסריקות של מוצרי אבטחה שלא יכולים לגשת לקוד של הקובץ על מנת לסרוק אותו. הקובץ ייפתח ויופעל רק כאשר תוקלד הסיסמה המתאימה.

email infection 2

השדה בו הקורבן מתבקש להכניס את הסיסמא שניתנה לו

המסמך מכיל 3 אובייקטים שכולם זהים, שהם כביכול גם הם מסמכי וורד. גרירה של הקבצים לשולחן העבודה תראה שמדובר באותו קובץ VBS (Visual Basic Script). כאן נמצא החידוש השני בהתקפה, התוקפים מוסיפים לסוף של שם הקובץ מספר גדול של רווחים ריקים, על מנת שהקורבנות המיועדים לא יראו את הסיומת האמיתית של הקבצים. כך נראה שמדובר בקבצי וורד עם סיומת docx ולא בקבצי VBS חשודים.

email infection 3

שימו לב לאותיות הקטנות

קובץ ה VBS עצמו גם הוא מוצפן על מנת לחמוק מניתוח של חוקרי אבטחה. רק כאשר הוא מופעל ניתן לראות שהוא פונה לשרתים שמאחסנים את שלב ההתקפה הבא.

קיים שירות אונליין שנקרא Virus Total, שמאפשר להעלות קבצים או אתרים שחשודים כנגועים, ולסרוק אותם עם כ 60 מנועי סריקה של מרבית מוצרי האבטחה בעולם. כך מזוהה כרגע ההתקפה ע"י 13 מוצרי אבטחה בלבד:

email infection 4.jpg

בשבוע שעבר צפינו בהפצה דומה של הטרויאני Ursnif שגונב פרטי חשבון בנק במייל עם קובץ מצורף שנעול עם סיסמה. אנחנו צופים שהפצות מסוג זה רק ילכו וירבו בשבועות והחודשים הקרובים.

  • הדפס
  • דוא"ל

השאר תגובה

להשארת תגובה מלאו את השדות הבאים

eset logo footer© כל הזכויות שמורות לקומסקיור בע"מ 2004-2017, נציגת ESET בישראל. סימנים מסחריים אשר בשימוש באתר זה הינם סימנים מסחריים או
מותגים רשומים של ESET spol. s r.o. או ESET, LLC. כל השמות והמתוגים האחרים הם סימנים מסחריים רשומים של החברות הרשומות

עוצב ונבנה על-ידי פרומו - אסטרטגיה שיווקית ופרסום