勒索病毒變種假冒 Dropbox也淪陷
資安大廠趨勢科技發現勒索病毒「TorrentLocker」變種, 攻擊時會假冒受害者的供應商, 寄送含Dropbox連結的假發票下載點,進而散布惡意程式碼。
趨勢科技表示,儘管 TorrentLocker勒索病毒已過了它的巔峰期,但它至今依然活躍,而且由於偵測率不高,歹徒一直能夠暗中攻擊不知情的受害者。
TorrentLocker 的最新變種在行為上與趨勢科技之前所偵測到的類似,主要的差異只在於散布方式,以及惡意程式執行檔的包裝方式。
比方說,新的 TorrentLocker變種在攻擊時,會先假冒受害者的供應商,用電子郵件寄一份發票給受害者。這份「發票」不是隨信附上,而是透過一個Dropbox連結來下載。
除此之外,為了增加郵件的真實性,郵件內容還包含了帳單、發票和帳戶編號等資訊。 TorrentLocker之所以使用Dropbox連結, 就是為了躲過郵件閘道防護產品的偵測,因為郵件當中不含附件,而是使用指向正派網站的連結。
使用者一旦點選了郵件中的連結, 就會下載一個JavaScript檔案(JS_NEMUCOD)到電腦上,這就是假發票。當使用者試圖開啟這份假發票時,會再下載另一個經過編碼的JavaScript檔案到記憶體中,進而下載TorrentLocker的惡意程式碼到系統中執行。
新的 TorrentLocker變種有一項不同之處是其檔案會包裝成NSIS安裝檔以躲避偵測,一些其他常見的勒索病毒也使用同樣的技巧, 如:CERBER、LOCKY、SAGE和SPORA。
從 2017年2月26日至3月6日這段期間,趨勢科技的Smart Protection Network偵測到54688封含有Dropbox連結的垃圾郵件,分散在815個不同的Dropbox帳號。此項威脅絕大多數都出現在歐洲,尤以德國和挪威的比率最高。挪威境內的威脅在2月底到達高峰,3月初開始慢慢轉移到德國。
此外,威脅大多集中在平日出現,週末會暫時消失。而且趨勢科技發現,上午 9時至10時之間的感染數量會突然飆高,這剛好是每天的上班時間左右,很可能是因為員工剛進辦公室開始看信的緣故。由於企業經常使用 Dropbox來管理及傳送檔案,因此員工很容易因為缺乏戒心而受騙開啟信中的連結。
目前,趨勢科技正與 Dropbox密切合作來解決這項問題。根據 Dropbox資安團隊表示,在消息發布當時,所有相關的惡意檔案都已全部撤下,而相關的使用者帳號也都已遭封鎖。
趨勢科技指出,有鑑於 TorrentLocker新變種與其他類似勒索病毒所採用的欺騙手法,企業應該格外小心提防社交工程攻擊。首先,企業應教育員工如何防範網路釣魚,時時提防可疑的電子郵件,例如:仔細查看寄件人的姓名及郵件內隨附網址顯示的文字是否與實際相符。事實上,一般使用者最好盡量避免下載附件檔案或點選郵件中的連結,除非確定郵件的來源百分之百可靠。
除此之外,使用者也應採取一些額外步驟來備份資料,例如「3-2-1」原則: 至少3份備份、2種儲存媒體(本機硬碟和隨身碟)、1份放在其他地點保存。
