En ond duo: Locky og Kovter

-  0

Hackere er i gang med at udforske en foruroligende strategi: at slå to fluer med et smæk. Lad os forklare det nærmere: specialister har bemærket, at en ondsindet e-mail kan sprede ikke blot én, men flere infektioner. Microsoft har fundet ud af, at Locky ransomware og Kovter malware (annonce-svindel) samarbejder på den værst tænkelige måde: de distribueres sammen. Det er ikke det eneste partnerskab mellem malware-infektioner, og det ser ud til, at Locky også har tæt tilknytning til Sage crypto-virus. Disse to ransomware-giganter passer sammen på grund af deres næsten ens infrastruktur. Man har bemærket, at Locky’s egen aktivitet er betydeligt dalet de sidste par måneder, men måske hackerne bare har været optaget af nye varianter og har ladet Locky komme i anden række angående distribution. Det ville være os en stor glæde at kunne fortælle, at Locky er væk og at du bare skal glemme alt om den, men det kan ikke betale sig at gå ud fra det.

Faktisk har man bemærket, at Locky udforsker en overraskende distributionsmetode. Forskere på Microsoft har fundet ud af, at en ny spam-kampagne går efter at distribuere Locky og Kovter samtidigt. Kampagnen sender en .Ink-fil rundt, som kan omdirigere folk til svært kodede domæner, der er kilder til begge disse infektioner. Den skadelige vedhæftning fungerer faktisk som en genvej til en anden eksekverbar og skjuler et Powershell script. For at få folk til at køre vedhæftningen, bliver .Ink-filen sat ind i en .zip-fil, hvilket internetbruger umiddelbart finder mere genkendeligt og pålideligt. Hvis du downloader filen, får Power Shell scriptet lov til at gå i gang. Eftersom denne spam-kampagne vælger at distribuere Locky og Kovter som et par, vil du formodentlig blive truet af dem begge to på samme tid. Som du ved, så krypterer Locky dine filer, og Kovter vil være mere fokuseret på annonce-svindel.


Microsoft forklarer, at hackerne kontrollerer mere end én webside, der er indstillet til at stå for distributionen af Locky og Kovter. Ifølge rapporten kaldes denne teknik for obfuscation. Et af formålene med obfuscation er at skjule skadelige koder. I dette tilfælde anvendes denne strategi, for at de kan undgå at blive sortlistet. Forskerne fortæller også om en anden, skræmmende egenskab ved denne skadelige spam-kampagne, der er fokuseret på at distribuere Locky og Kovter. Lige så snart malware-versionerne trænger ind i en enhed, vil de automatisk blive opdateret til deres nuværende varianter.

Alt i alt er denne lumske plan meget farlig, og du skal endelig ikke åbne tilfældig post, som ryger ind i din indbakke. Hvis du gør det, vil malware-trusler have meget lettere ved at trænge ind i dit computersystem.

Kilde: blogs.technet.microsoft.com

 

Om forfatteren

 
 
 
 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *