Thư rác giả mạo nâng cấp Windows 10 chứa CTB-Locker Ransomware

Windows 10 đã có thể nâng cấp miễn phí từ tuần trước. Lợi dụng điều này, tin tặc đã bắt đầu phát tán tin nhắn rác và email lừa đảo thông qua chiến dịch giả mạo Microsoft, đưa CTB-Locker Ransomware vào thiết bị của người dùng.

Các nhà nghiên cứu tại Cisco TALOS cho biết họ đang theo dõi một chiến dịch spam chứa file đính kèm bắt nguồn địa chỉ từ Thái Lan giả mạo cập nhật tại Microsoft[.]com. Người dùng tải về và thực thi file trong file nén sẽ bị lây nhiễm CTB-Locker Ransomware. Nó được phát tán thông qua email, bộ công cụ khai thác hoặc drive-by download, mã hóa tài liệu lưu trên máy tính và đòi tiền chuộc dưới dạng Bitcoin để trao đổi key mã hóa. Chiến dịch này cho phép người dùng 96 giờ chuyển khoản, ít hơn chiến dịch CTB-Locker gốc.

win10_blacked_out

Hai tính năng của thư rác nhằm tăng độ tin cậy bao gồm sử dụng bài viết của Microsoft và thông báo email đã được quét sạch sẽ bởi “MailScanner”.

malware_scan

Đoạn thông báo chưa đường dẫn tới một bộ lọc email mã nguồn mở khiến người dùng tin cậy hơn. Khi người dùng đọc qua email, tải về file zip, giải nén và chạy file .exe, người dùng sử dụng chào đón bởi một thông báo như dưới đây:

CTB-Locker-550x362

Dấu hiệu phát hiện:

Thư điện tử có chứa

Đối tượng: Windows 10 Free Upgrade
Đính kèm: Win10Installer.zip (Win10Installer.exe)
Mã SHA256: ec33460954b211f3e65e0d8439b0401c33e104b44f09cae8d7127a2586e33df4 (zip)
aa763c87773c51b75a1e31b16b81dd0de4ff3b742cec79e63e924541ce6327dd (executable)

Domain

rmxlqabmvfnw4wp4.onion.gq

IP

Máy chủ điều khiển Malware phụ thuộc vào mạng TOR do đó không có giá trị IP cụ thể

Mối đe dọa ransomware càng ngày càng lớn do tin tặc tìm được nhiều cách phát tán. Người dùng nên sao lưu dữ liệu thường xuyên, lưu trữ dữ liệu ngoại tuyến nhằm ngăn chặn bị tấn công.

cisco

Bài viết cùng chủ đề << Ransomware mã nguồn mở được phát hành với mục đích “giáo dục”Hacker tự giải mã ransomware Locker trên các máy tính bị nhiễm >>

Bình luận

Từ khóa: