【輕量版RaaS】勒索軟件組織Knight 偽冒TripAdvisor投訴信向餐廳埋手
今年新出現的勒索軟件組織 Knight,這星期開始正在透過濫發偽裝成 TripAdvisor 投訴信的釣魚電郵,向餐廳發動攻擊,由於 Knight 提供的輕量版勒索軟件即服務可大規模發出釣魚電郵,因此就算內容不夠精準,也總會有小部分收件者一時大意中招!
組織成立兩個月易名 提供輕量版攻擊
為了引誘受害人打開惡意檔案,勒索軟件組織擅於假扮成不同的機構,而攻擊手法大致上可分為兩種,一種是高精準度的魚叉式釣魚電郵,通過詳細分析目標人士的工作背景,打造出令收信人更容易相信的內容;另一種則以廣大網民為對象,通過假扮成一般網民都有機會使用的服務供應商,如 Google、Amazon、Netflix 或 Facebook 等,引誘目標上釣。而作為勒索軟件即服務供應商的 Knight,就同時提供兩類服務。
發現這次新組織的網絡安全機構 Uptycs 解釋,從今年 7 月尾才出現的 Knight 其實是由另一組織 Cyclops 改名而來,不過 Cyclops 也是今年 5 月才出現,一開始先在地下討論區 RAMP 刊登邀請合作廣告,並在 7 月尾宣布改名,同時更新輕量版勒索軟件(即可作廣泛攻擊,並只向受害者索取較小額的贖金的版本)功能,讓客戶更容易使用。
捕獲這波攻擊的 Sophos 研究員指出,黑客這次利用 TripAdvisor 投訴信為餌,向不同餐廳發出內含勒索軟件的釣魚電郵。
加密貨幣帳戶指向同一地址 研究員籲勿交贖金
研究員指當餐廳收到這封投訴信,由於擔心會因負評而令餐廳被 TripAdvisor 凍結或除名,因而心急打開標名為 TripAdvisor Complaint 的 HTML 電郵附件,並被引導至一個虛假 TripAdvisor 的釣魚網站,指示用家閱讀投訴內容。
由於這次的勒索軟件惡意編碼被隱藏在以 Excel-DNA 的 XLL 格式檔案內,因此當受害者點擊閱讀內容後,實際上會打開 Excel 軟件,而就在這時,如果 Excel 發現檔案有可疑的 MoTW(Mark of The Web)下載來源標記,Windows 會阻止啟動檔案內的延伸功能,相反如沒有發現,則會彈出選框讓用家選擇是否開啟延伸功能。
一旦用家選擇啟動,輕量版的勒索軟件加密器就會自動執行,並將電腦內的檔案鎖死,同時顯示一封勒索信,內容為如受害者要解鎖檔案,便要付價值 5000 美元的加密貨幣到指定帳戶。
研究員解釋,由於他們捕獲的不同 Knight 勒索軟件中,可顯示的加密貨幣帳戶都指向同一地址,因此懷疑 Knight 方面能否確認是哪個受害者付了款,以及是否真的會提供解鎖方法。現時帳戶內仍未收過任何款項,所以研究員相信仍未有受害者選擇交贖金,研究員除了呼籲受害者切勿交贖金外,亦同時提醒其他餐廳要避免上當。
相關文章:【重伏】假扮Android安全通訊軟件 竊取WhatsApp、Signal資料