视频: Алфавит 05 Буква E (十一月 2024)
并非所有基于电子邮件的攻击似乎都来自被废des的霸主家庭,兜售奇迹药物的卖家或提醒您提货的运输公司。 有些人看起来像不幸的人,正在找工作。 在这样的经济环境下,我们所有人至少都知道有人将简历发送给他们认识的所有人,以期进行面试。
但是,正如Cloudmark在最新的“美味垃圾邮件”提交中所说的那样,“不要被意料之外的简历所吸引。” 他们会努力地咬你。
研究人员安德鲁·康韦(Andrew Conway)说,Cloudmark最近看到了以伪造简历形式发送的勒索软件活动。 攻击本身并非一帆风顺,并且recipeint必须多次打开恶意文件,但它仍然足够有效,以致许多受害者都受到了影响。
康威(Conway)描述了竞选活动的各个步骤:
攻击电子邮件来自Yahoo! 邮件帐户,并有一个文件声称是简历的附件。 康韦(Conway)指出了邮件中的四个警告标志:这是未经请求的邮件; 发件人未提供姓氏; 简历以.zip文件发送; 语法,标点或拼写错误。
康威说:“真正提交简历的人将证明他们的工作。”
收件人打开.zip文件时,他或她将找到一个名称为 resume7360.html 的html文件。 考虑到大多数简历以文本,PDF或Word文档发送,因此简历采用.html格式是另一个危险信号。 康韦说:“当然,打开不请自来的PDF和Word文件也是一个坏主意。”
攻击HTML文件的示例如下所示:
当收件人尝试打开文件时,浏览器将尝试将URL加载到IFRAME标签中。 康韦说:“这与强迫用户单击链接相同。”他指出,在这种情况下,链接指向了一个被入侵的Web服务器。 该网址会加载另一个HTML文件,该文件具有指向Google文档链接的重定向链接。
重定向使用元刷新标记,该标记通常用于实时更新网页的内容。 对不同域上的网页进行元刷新通常是恶意的。 大多数人会使用HTTP重定向或JavaScript来完成此操作,而不是使用元刷新。 仅作为您的信息,受感染登陆页面的HTML如下所示:
Google文档链接会下载另一个名为 my_resume.zip的 zip文件 , 其中包含一个名为 my_resume_pdf_id_8412-7311.scr 的文件。 “文件是从Internet上随机下载的。危险,威尔·罗宾逊!” 康威说。
后缀.scr适用于Windows屏幕保护程序,但实际上它们是Windows的特殊格式的可执行文件。.scr扩展名通常用于将恶意软件传递给毫无戒心的用户。 当受害者打开.scr文件时,将触发勒索软件。 他们所有的文件都经过加密,并且要付数百美元才能再次找回。
康威对此勒索软件活动提出了一个有趣的观点。 攻击者必须采取许多复杂的步骤,因为现代的防病毒和垃圾邮件过滤工具足够有效,因此成功的唯一方法是将多个步骤链接在一起以绕过防御。 如果您觉得您只需要跳多个Hoppos就可以查看简历,那应该是一个警告,提示有些问题。 电子邮件背后的那个人也许对工作真的不感兴趣。
