森德網站設計

資安情報站

小心! 冒牌Windows更新通知信暗藏勒索軟體!

引用iThome網站       文/林妍溱

 

 

安全業者發現駭客假冒微軟名義,發送Windows重要更新的通知信件,誘騙使用者執行附件,以植入勒索軟體,並且還在GitHub散佈撰寫勒索軟體的開發程式。

 

如果接到微軟寄發的電子郵件通知你下載最新Windows更新版,小心是釣魚郵件。安全廠商TrustWave發現最近網路上流傳偽裝Windows更新的信件,一旦下載將感染勒索軟體。攻擊者甚至散佈撰寫勒索軟體的開發工具。

 

這批網釣郵件標題寫著「Install Latest Microsoft Windows Update now! Critical Microsoft Windows Update!」,要求收信人下載並執行最新版重要Windows更新。安全廠商發現,附檔大小為28KB,隨機選擇一組字串作為檔名,並為了躲避郵件閘道的偵測而以.jpg為副檔名。不過它實際上是個可執行檔,內容是為惡意.NET下載器,開啟執行後它還會從外部伺服器下載名為Cyborg的勒索軟體。分析其程式碼,顯示駭客是將惡意程式代管在GitHub一個名為misterbtc2020帳戶下。

 

一旦開啟,Cyborg會將受害電腦上的檔案加密,並附上.777的副檔名。和一般勒索軟體一樣,Cyborg會在受害電腦的「桌面」目錄下留下勒索訊息及一則電子郵件信箱,要求使用者匯款500比特幣到所附的電子錢包位址。

 

不過和別的勒索軟體不同的是,Cyborg作者不只是散佈勒索軟體為害,還散佈撰寫Cyborg的開發程式。研究人員循線發現GitHub另二個新建帳號下包含名為Cyborg Builder Ransomware的可執行檔,讓任何取得的人也能開發自己的Cyborg,也藉此擴大這個勒索軟體的感染範圍。

 

安全公司已在本周通知GitHub此事,不過還在確認中。現在尚未看到此信件大規模散佈,但由於不論Cyborg勒索軟體和開發程式都還在GitHub平台上,因此研究人員相信可能會衍生出變種程式。

 

數聯資安提醒您,來路不明的電子郵件請勿點選、下載不明附檔,以免電腦中毒!

 

電子郵件社交工程演練服務:https://www.issdu.com.tw/service_detecting.php?id=53

 

參考數聯資安服務項目:

返回