Anonim
Tasty Spam-SW Image

Inte alla e-postbaserade attacker verkar komma från familjer med avsatta förvaringar, säljare som utreder mirakelläkemedel eller rederier som påminner dig om en leverans. Vissa ser ut som olyckliga individer som söker ett jobb. Och i denna ekonomi känner vi alla åtminstone en person som skickar CV till alla de känner i hopp om att landa en intervju.

Men som Cloudmark sade i sitt senaste Tasty Spam-inlämnande, "Låt dig inte frestas av oväntade återupptagningar." De kan bita dig, hårt.

Cloudmark såg nyligen en ransomware-kampanj levererad i form av en falsk CV, sa forskaren Andrew Conway. Attacken i sig är inte enkel och receptet måste öppna den skadliga filen flera gånger, men den är fortfarande tillräckligt effektiv för att många offer har drabbats.

Conway beskrev kampanjens olika steg:

When the recipient opens the .zip file, he or she will find an html file with a name like resume7360.html . The fact that the resume is in .html format is another red flag, considering most resumes are sent as text, PDF, or Word documents. "Of course, it' s a bad idea to open unsolicited PDF and Word files as well, " Conway said.

Ett exempel på attack-HTML-filen ser ut så här:

Ransomware Email Attack

Omdirigeringen använder en metauppdateringstagg, som vanligtvis används för att uppdatera innehållet på en webbsida i realtid. En metauppdatering till en webbsida på en annan domän är vanligtvis skadlig. De flesta använder HTTP-omdirigering eller JavaScript för att göra detta, inte en metauppdatering. Bara för din information ser HTML från den komprometterade målsidan så här:

The .scr suffix is for Windows screen savers, but they are essentially specially formatted executable files for Windows. The .scr extension is frequently used to deliver malware to unsuspecting users. When the victim opens the .scr file, that triggers the ransomware. All their files are encrypted and they are presented with a bill of hundreds of dollars to get them back again.

Conway raised an interesting point about this ransomware campaign. The attacker had to take so many convoluted steps because modern antivirus and spam filtering tools are effective enough that the only way to succeed is to chain together multiple steps to bypass the defenses. If you feel like you have to jump multiple hoppos just to view a resume, that should be a warning that something is amiss. Maybe that person behind the email isn' t really interested in a job.