Video: I deliberately downloaded ransomware… - Acronis True Image 2020 Showcase (Oktober 2024)
Tidak semua serangan berbasis email tampaknya berasal dari keluarga para penguasa lalim, penjual yang menggembar-gemborkan obat ajaib, atau perusahaan pelayaran yang mengingatkan Anda akan kiriman. Beberapa terlihat seperti individu yang malang mencari pekerjaan. Dan dalam perekonomian ini, kita semua tahu setidaknya satu orang yang mengirim resume ke semua orang yang mereka kenal dengan harapan untuk melakukan wawancara.
Tetapi seperti kata Cloudmark dalam pengiriman Spam Tasty terbaru, "Jangan tergoda oleh resume yang tidak terduga." Mereka bisa menggigitmu, keras.
Cloudmark baru-baru ini melihat kampanye ransomware disampaikan dalam bentuk resume palsu, kata peneliti Andrew Conway. Serangan itu sendiri tidak langsung dan resep harus membuka file berbahaya beberapa kali, tetapi masih cukup efektif bahwa banyak korban telah terkena dampak.
Conway menggambarkan berbagai langkah kampanye:
Email serangan berasal dari Yahoo! Akun email dan memiliki file yang dimaksudkan sebagai resume terlampir. Conway menunjukkan empat tanda peringatan dalam pesan itu: itu adalah pesan yang tidak diminta; pengirim tidak memberikan nama belakang; resume dikirim sebagai file.zip; dan ada kesalahan dalam kesalahan tata bahasa, tanda baca, atau ejaan.
"Seseorang yang benar-benar mengajukan resume akan mengoreksi karya mereka, " kata Conway.
Ketika penerima membuka file.zip, ia akan menemukan file html dengan nama seperti resume7360.html . Fakta bahwa resume dalam format.html adalah bendera merah lainnya, mengingat sebagian besar resume dikirim sebagai teks, PDF, atau dokumen Word. "Tentu saja, itu ide buruk untuk membuka file PDF dan Word yang tidak diminta juga, " kata Conway.
Contoh file HTML serangan terlihat seperti ini:
Ketika penerima mencoba membuka file, browser akan mencoba memuat url di tag IFRAME. "Itu sama dengan memaksa pengguna untuk mengklik tautan, " kata Conway, mencatat bahwa dalam kasus ini, tautan menunjuk ke server web yang dikompromikan. URL tersebut memuat file HTML lain, yang memiliki tautan pengalihan yang menunjuk ke tautan Google Documents.
Pengalihan menggunakan tag meta refresh, yang biasanya digunakan untuk memperbarui konten halaman Web secara real time. Meta refresh ke halaman Web pada domain yang berbeda biasanya berbahaya. Sebagian besar orang akan menggunakan pengalihan HTTP atau JavaScript untuk melakukan ini, bukan meta refresh. Hanya untuk informasi Anda, HTML dari halaman arahan yang dikompromikan terlihat seperti ini:
Tautan Google Documents mengunduh file zip lain bernama my_resume.zip, dan berisi file dengan nama seperti my_resume_pdf_id_8412-7311.scr . "File yang diunduh secara acak dari Internet. Bahaya, Will Robinson!" kata Conway.
Suffix.scr adalah untuk screen saver Windows, tetapi mereka pada dasarnya adalah file executable yang diformat khusus untuk Windows. Ekstensi.scr sering digunakan untuk mengirimkan malware ke pengguna yang tidak menaruh curiga. Ketika korban membuka file.scr, itu memicu ransomware. Semua file mereka dienkripsi dan mereka disajikan dengan tagihan ratusan dolar untuk mendapatkannya kembali.
Conway mengangkat poin menarik tentang kampanye ransomware ini. Penyerang harus mengambil begitu banyak langkah berbelit-belit karena antivirus modern dan alat penyaringan spam cukup efektif sehingga satu-satunya cara untuk berhasil adalah dengan menyatukan beberapa langkah untuk memintas pertahanan. Jika Anda merasa harus melompat beberapa hoppo hanya untuk melihat resume, itu harus menjadi peringatan bahwa ada sesuatu yang salah. Mungkin orang di balik email itu tidak terlalu tertarik pada pekerjaan.
