Xuất hiện một biến thể mới của mã độc tống tiền Locky

Các tập tin WSF, những tài liệu văn bản có chứa mã XML, hoạt động như một container. Mỗi tập tin có thể chứa nhiều hơn một ngôn ngữ lập trình kịch bản (Script).

Các nhà nghiên cứu tin rằng việc sử dụng các tập tin WSF sẽ khiến cho việc phát hiện các mối đe dọa trở nên khó hơn bởi giải pháp bảo mật đầu cuối truyền thống thường không kiểm soát các tập tin này, thậm chí ngay cả đối với các công nghệ sandbox và backlist .

Các nhà nghiên cứu của Trend Micro giải thích, một kỹ thuật như vậy cho phép mối đe dọa này dễ dàng vượt qua các biện pháp an ninh, bao gồm phân tích sandbox. Ngoài ra, việc sử dụng nhiều ngôn ngữ kịch bản kết hợp có thể dẫn đến các mẫu được mã hoá, gây khó khăn cho việc phân tích.

Họ cho biết thêm, tương tự như việc sử dụng VBScript và Javascript, WSF giúp cho những kẻ tấn công có thể  tải về bất kỳ tệp tin độc hại nào. Trong trường hợp của Locky, mã độc tống tiền thực tế được tải bởi những tập tin WSF có các hàm băm khác nhau. Khi các tập tin được tải về có các hàm băm khác nhau, việc phát hiện chúng thông qua danh sách đen (backlist) trở nên khó khăn,

Trong cuộc tấn công do Trend Micro theo dõi tháng trước, tội phạm mạng đã tập trung vào những công ty mục tiêu. Các tập tin WSF mà phân phối Locky được nén dưới dạng ZIP và đính kèm qua email với dòng tiêu đề như “báo cáo hằng năm”, “hồ sơ tài khoản ngân hàng” hoặc “cơ sở dữ liệu công ty”.

Hàng triệu các thư rác đã được gửi đi, với khối lượng cao nhất được ghi nhận vào 9:00-11:00 hằng ngày, khung thời gian mà hầu hết người lao động châu Âu bắt đầu ngày làm việc mới. Các thư rác này đến từ các máy ở Serbia, Colombia và Việt Nam, và sau đó từ Thái Lan và Brazil.

Một khi đã lây nhiễm vào một máy tính, Locky kiểm tra registry để xác định ngôn ngữ thiết lập trên hệ thống, sau đó thông báo mức tiền chuộc theo ngôn ngữ đó. Phương pháp này cũng được sử dụng bởi nhiều loại mã tống tiền khác khác, bao gồm cả Jigsaw, Cryptlock và Reveton.

(Theo: Securityweek)