Вкусен спам: откуп, който се крие зад резюмета

Не всички атентати, базирани на имейл, идват от семейства на депонирани депо, продавачи, които рекламират чудотворни лекарства или от транспортни компании, които ви напомнят за доставка. Някои изглеждат като нещастни хора, които търсят работа. И в тази икономика всички познаваме поне един човек, който изпраща автобиографии на всички, които познава, с надеждата да направят интервю.

Но както Cloudmark каза в последното си представяне на Tasty Spam, "Не се изкушавайте от неочаквани възобновявания." Могат да те ухапят, силно.

Наскоро Cloudmark видя кампания за извличане на софтуер, доставена под формата на фалшива автобиография, заяви изследователят Андрю Конуей. Самата атака не е ясна и рецептата трябва да отвори злонамерения файл няколко пъти, но все пак е достатъчно ефективна, че много жертви са били засегнати.

Conway описа различните стъпки на кампанията:

Имейл атаката идва от Yahoo! Акаунт за поща и има прикачен файл за резюме. Конуей посочи четирите предупредителни знака в съобщението: това беше непоискано съобщение; изпращачът не даде фамилия; резюмето беше изпратено като.zip файл; и има грешки в грешките в граматиката, пунктуацията или правописа.

„Някой истински представи резюме ще препровери работата си“, каза Конуей.

Когато получателят отвори.zip файла, той или тя ще намери html файл с име като resume7360.html . Фактът, че автобиографията е във формат.html е друг червен флаг, като се има предвид, че повечето автобиографии се изпращат като текстови, PDF или Word документи. "Разбира се, лошо е да отваряте и непоискани PDF и Word файлове", каза Конуей.

Проба от атакуващия HTML файл изглежда така:

Когато получателят се опита да отвори файла, браузърът ще се опита да зареди URL адреса в IFRAME тага. „Това е същото като принуждаването на потребителя да кликне върху връзка“, каза Конуей, отбелязвайки, че в този случай връзката сочи компрометиран уеб сървър. URL адресът зарежда още един HTML файл, който има връзка за пренасочване, сочеща към връзка в Google Документи.

Пренасочването използва мета обновяване маркер, който обикновено се използва за актуализиране на съдържанието на уеб страница в реално време. Металното опресняване на уеб страница в друг домейн обикновено е злонамерено. Повечето хора биха използвали пренасочване на HTTP или JavaScript, за да постигнат това, а не мета опресняване. Само за ваша информация, HTML от компрометираната целева страница изглежда така:

Връзката Google Документи изтегля друг zip файл, наречен my_resume.zip, и съдържа файл с име като my_resume_pdf_id_8412-7311.scr . "Файл, свален на случаен принцип от интернет. Опасност, Уил Робинсън!" - каза Конуей.

Суфиксът.scr е за скрийнсейвъри на Windows, но по същество те са специално форматирани изпълними файлове за Windows. Разширението.scr често се използва за доставяне на злонамерен софтуер на нищо неподозиращи потребители. Когато жертвата отвори.scr файла, това задейства извличащия софтуер. Всичките им файлове са шифровани и те се представят със стотици долари, за да ги върнат отново.

Конуей повдигна интересна точка за тази кампания за извличане на софтуер. Нападателят трябваше да предприеме толкова много объркани стъпки, защото съвременните инструменти за филтриране на антивирусни и спам са достатъчно ефективни, че единственият начин за успех е да свържат заедно няколко стъпки, за да заобиколят защитите. Ако чувствате, че трябва да прескочите няколко хоппота, само за да видите резюме, това трябва да е предупреждение, че нещо не е наред. Може би този човек зад имейла не се интересува наистина от работа.