恶意软件分销商正在切换到较少的可疑文件类型
在使用JavaScript电子邮件附件进行了积极的是,过去一年分发恶意软件,攻击者现在将切换到少许可疑文件类型以欺骗用户。
上周,来自Microsoft恶意软件保护中心的研究人员警告了一个新的垃圾邮件电子邮件,在ZIP档案中携带恶意.lnk文件。这些文件已将恶意PowerShell脚本附加到它们。
PowerShell是一种自动化Windows系统管理任务的脚本语言。它已被滥用在过去下载恶意软件,并且甚至有完全在PowerShell编写的恶意软件程序。
在Microsoft最近看到的活动中,恶意LNK文件包含一个下载并安装Kovter点击欺诈特洛伊木马的PowerShell脚本。过去使用了相同的技术来分配锁定勒索软件。
从周四的英特尔安全的研究人员警告说,PowerShell也可以用于所谓的无纺丝攻击,恶意代码直接启动到内存中,没有保存到磁盘以获取端点安全产品的磁盘。
“您可能认为您受到虚线恶意软件的保护,因为您的PowerShell执行策略被设置为”限制“,因此脚本无法运行,”英特尔安全研究人员在博客文章中表示。“然而,攻击者可以轻松绕过这些政策。”
用于分发最近几个月恶意软件的另一个文件类型已经是SVG(可缩放向量图形)。虽然许多人正确地将.svg文件与图像相关联,但它是一个鲜为人知的事实,即这些文件实际上可以包含JavaScript。
当用户打开他们认为在浏览器中的图像时,攻击者一直在使用SVG文件来执行混淆的JavaScript。这些混淆的脚本用于启动恶意文件下载,来自SAN Internet Storm Center的事件响应者在最近的一份报告中警告。
Google计划在2月13日起在Gmail中阻止JavaScript文件附件,无论它们是直接的“重新连接到zip等归档文件中。来自电子邮件提供商的这种限制可能强制网络犯罪分子寻找允许隐藏恶意代码的替代文件格式。
禁止LNK或JS文件附件很容易,因为人们通过电子邮件发送此类文件是罕见的。然而,禁止SVG可能证明是不切实际的,因为它是一种广泛使用的图像格式。
