警告!勒索软件利用SVG格式在Facebook Messenger上传播

一款勒索软件通过下载器传播,专家注意到它能够绕过Facebook防御措施,伪装成一个无害的图像文件。

这款勒索软件与周末被恶意软件专家Bart Blaze和研究员Peter Kruse首次发现活动踪迹。

Bart Blaze在一篇博文中写道:

“今天早些时候,我的一个朋友告诉我一件关于它Facebook帐户发生的奇怪事情; 一条只包含一个图像(实际是.svg文件)的消息已自动发送了,它有效地绕过了Facebook的文件扩展过滤器“

facebook-locky-ransomware

SVG图像文件可以被攻击者用作一种可以包含如Java script 的恶意代码的容器。

2015年5月,AppRiver安全公司的研究人员发现了一个利用SVG文件分发勒索软件的恶意活动。

SVG(可缩放矢量图形)是用于支持动画和交互的二维图形的基于XML的矢量图像格式。 SVG图像包含XML文本行为的定义,该特征使得SVG图像可以被搜索,索引,脚本化和压缩。 尽管SVG图像可以使用任何文本编辑器创建和编辑,但SVG更常见的用法是被软件创建用来直接描述图像详情。

AppRiver的专家注意到,攻击者正在利用了SVG文件里包含的一小段java script代码 ,它允许他们将受害者重定向到用于服务Cryptowall恶意软件的网站。

“这些SVG文件包含了一小段java script代码,它将打开一个网页并下载恶意软件”AppRiver研究人员在一篇博文中说道。“IP链接是有问题的,它转到另一个域里面下载zip压缩文件。 这个zip文件实际是包含payload的exe,但它不能自动执行,仍然需要用户交互“。

言归正传,新的攻击手法基于下载利用一个名为Nemucod的恶意程序,它在Facebook Messenger上利用.svg文件传播,这个事件已经被Peter Kruse在Twitter上确认。

%e6%8d%95%e8%8e%b71

当受害者访问恶意SVG文件时,它将被重定向到一个看起来像YouTube的网站,但是一旦页面加载,受害者便会被要求安装一个编解码器用来播放显示网页。

如果受害者按照页面上的要求安装Chrome扩展程序,攻击便利用Facebook Messenger进行下一步传播。专家观察到,有时恶意Chrome扩展安装Nemucod下载程序便触发了勒索软件攻击。

专家警告称可能有几种恶意软件变型体,如Locky Ransomware,被恶意传播。

“目前,我不确定这个扩展程序有什么功能,它除了通过Facebook自动传播自己,可能还下载其它恶意软件到你的机器。”Blaze补充说。

如果您受到感染,请从你的浏览器中移除恶意扩展程序。

原创文章,作者:Tank,如若转载,请注明出处:http://www.mottoin.com/news/92379.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code