最近請當心下面三個山寨版電子郵件來信 :
- noreply@goog.le.com
- noreply@mail.fb.com
- service@paypal.co.uk
這些電子郵件地址乍看之下或許正常,但仔細一瞧,就會發現 Google 的電子郵件地址拼錯了。此外,雖然 fb.com 這個網域確實屬於 Facebook,但卻是該公司的企業內部電子郵件網域。簡單來說就是,Facebook 絕不會使用該網域來和 Facebook 使用者通訊。至於 PayPal,該公司所使用的網域是 paypal.com,而非 paypal.co.uk。
最近趨勢科技發表了一篇有關 CTB-Locker 勒索程式近期演進的文章:勒索軟體提供變更勒贖訊息語系的選項,中國出現激增災情。簡而言之,惡意程式現在提供了一項「免費解密」服務來延長其檔案解密的最後期限,以及一個切換勒索指示語言的選項。
日前網路上又出現了另一波 CTB-Locker 勒索軟體 Ransomware攻擊。這一波加密勒贖程式攻擊最值得注意的一點是,他們利用了 Facebook 和 Google Chrome 這類「知名大廠」為社交工程(social engineering )誘餌。
新的誘餌
我們發現這些 CTB-Locker 勒索軟體 Ransomware會假冒來自 Google Chrome 和 Facebook 的電子郵件。
假冒來自 Google Chrome 的電子郵件會偽裝成一封 Chrome 瀏覽器更新電子郵件通知。當使用者點選其中的連結之後,就會被帶往一個散布惡意程式的網站。其惡意程式會利用 Google Chrome 的圖示來偽裝成正常的安裝套件,但它其實是 TROJ_CRYPCTB.YUX 惡意程式變種。
圖 1:假冒的 Google Chrome 電子郵件。
除此之外,歹徒也會假冒來自 Facebook 的郵件,此郵件會偽裝成一封帳號停用通知,並且指示使用者點選郵件當中的連結,如此會下載一個惡意程式。
圖 2:假冒的 Facebook 電子郵件。
下載的惡意程式使用了 .PDF 的圖示來偽裝成該類型的檔案,但它其實是 TROJ_CRYPCTB.NSA 惡意程式變種。 繼續閱讀