新的 Paradise 勒索病毒正利用 Internet Query Files (IQY) 檔案來散布,該勒索病毒家族過去從未用過這類檔案。
以往通常只有其他惡意程式會利用 IQY 檔案發動攻擊,如 Necurs 殭屍網路就是利用 IQY 檔案來散播 FlawedAmmy 遠端存取工具 (RAT)。此外,Bebloh 和 Ursnif 也會藉由 IQY 和 PowerShell 來散布。
[延伸閱讀:Same Old yet Brand-new:New File Types Emerge in Malware Spam Attachments]
IQY 是 Microsoft Excel 所使用的一種檔案,這種檔案內含有一些網址和其他向網際網路查詢所需的內容。根據 Last Line 研究人員表示,IQY 或許不像 Microsoft Office 其他檔案格式那麼廣為人知,但同樣也可能變成歹徒的武器。此次的攻擊並非利用 Microsoft Excel 的任何漏洞,因此就算是平常都按部就班修補的系統還是有受害的風險。
繼續閱讀本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
媒體資安新聞
台灣防疫受國際肯定 科技運用功不可沒 公視晚間新聞
唐鳳引爆台灣創新能量 財訊
武漢肺炎帶動遠距工作 駭客入侵機會也來了 中央通訊社
假消息單月暴增 203%!小心 3 種「防疫話題詐騙」手法 自由時報電子報
影/假訊息爆炸!3個月90萬筆流竄 產學界合體科技阻斷 聯合新聞網
繼續閱讀近日有幾波獨立的攻擊活動顯示出Trickbot是如何地更新其執行和防禦躲避技術。首先是Malware Traffic偵測到這隻銀行木馬程式現在會用DLL檔案形式散播。Morphisec也報告說它加入了針對Windows 10的功能。趨勢科技研究人員也有發現這些新變種的樣本。
Trickbot通常是由帶有DLL模組的EXE檔載入。而新的變種現在會用DLL檔載入。這隻木馬程式是透過微軟Word文件檔案進入,應該是經由垃圾郵件的惡意附件檔散播。一開始感染時,Trickbot會顯示為MS-DOS應用程式檔案。接著木馬程式會在受感染電腦上建立持續性能力。能夠看到將Trickbot植入為DLL檔的排程工作。
最近許多員工需要遠端工作。遠端工作並不是件新鮮事,而且已經有相當比例的人是這樣工作。但現在公司必須花時間為分散各地的員工進行規劃,並且要確保他們能安全工作。
這事可不像是快速地部署一套應用程式,而是會對業務、基礎設施和客戶帶來安全上的影響。隨著新的遠端工作者想辦法搞定在家工作,IT支援部門的工作量也將會增加。
有流傳著為遠端工作者重設所有密碼的建議。這可能會帶來更多的社交工程 social engineering )攻擊,試圖誘騙工作過度的 IT 支援人員,為不符合政策的人進行密碼重設,預期在 IT 支援部門超載時見縫插針。
繼續閱讀最近研究人員發現了一個新的勒索病毒Ransomware (勒索軟體/綁架病毒),名為「Nefilim」。該病毒會威脅受害者若不支付贖金就要將受害者的資料公開。根據 SentinelLabs 的 Vitali Krimez 和 ID Ransomware 的 Michael Gillespie 在 Bleeping Computer 上表示,此病毒最有可能是經由暴露在外的遠端桌面 (RDP) 連接埠散播。
Nefilim 的程式碼與 Nemty 2.5 勒索病毒有許多相似之處,兩者的主要差異在於 Nefilim 已不再使用勒索病毒服務 (Ransomware-as-a-Service,簡稱 RaaS),此外也改用電子郵件通訊來收受贖金,不再透過 Tor 支付網站。目前並無資料顯示 Nemty 和 Netfilim 是同一集團所為。這個新的勒索病毒很可能像其他一些勒索病毒 (如 Nemty、Crysis、SAMSAM) 一樣是經由 RDP 通訊協定散布。
繼續閱讀