Видео: 5 НОВЫХ ЛАЙФХАКОВ С КОНСТРУКТОРОМ LEGO 4K (Октября 2024)
Похоже, не все атаки по электронной почте совершаются семьями свергнутых деспотов, продавцами, рекламирующими чудодейственные наркотики, или транспортными компаниями, напоминающими вам о доставке. Некоторые выглядят как несчастные люди, ищущие работу. И в этой экономике мы все знаем по крайней мере одного человека, который посылает резюме всем, кого они знают, в надежде получить интервью.
Но, как сказал Cloudmark в своем последнем представлении «Вкусный спам»: «Не поддавайтесь искушению неожиданными резюме». Они могут сильно укусить тебя.
По словам исследователя Эндрю Конвея, Cloudmark недавно провела кампанию по вымогательству в форме поддельного резюме. Сама атака не проста, и рецепт должен открыть вредоносный файл несколько раз, но он все еще достаточно эффективен, чтобы затронуть многие жертвы.
Конвей описал различные шаги кампании:
Атака электронной почты приходит от Yahoo! Учетная запись электронной почты и файл, который якобы должен быть дополнен резюме. Конвей указал на четыре предупреждающих знака в сообщении: это было нежелательное сообщение; отправитель не указал фамилию; резюме было отправлено в виде файла.zip; и есть ошибки в ошибках в грамматике, пунктуации или правописании.
«Если кто-то действительно отправит резюме, он сможет проверить свою работу», - сказал Конвей.
Когда получатель откроет файл.zip, он найдет html-файл с именем, подобным resume7360.html . Тот факт, что резюме в формате.html является еще одним красным флагом, учитывая, что большинство резюме отправляются в виде текстовых документов, документов PDF или Word. «Конечно, открывать нежелательные файлы PDF и Word тоже плохая идея», - сказал Конвей.
Пример HTML-файла атаки выглядит следующим образом:
Когда получатель пытается открыть файл, браузер пытается загрузить URL-адрес в теге IFRAME. «Это то же самое, что заставлять пользователя нажимать на ссылку», - сказал Конвей, отметив, что в этом случае ссылка указывает на скомпрометированный веб-сервер. URL-адрес загружает еще один HTML-файл, который имеет ссылку перенаправления, указывающую на ссылку в Документах Google.
В перенаправлении используется мета-тег обновления, который обычно используется для обновления содержимого веб-страницы в режиме реального времени. Мета-обновление веб-страницы в другом домене обычно является вредоносным. Большинство людей для этого используют перенаправление HTTP или JavaScript, а не метаобновление. Только для вашей информации, HTML-код скомпрометированной целевой страницы выглядит следующим образом:
Ссылка на Документы Google загружает другой zip-файл с именем my_resume.zip и содержит файл с именем, подобным my_resume_pdf_id_8412-7311.scr . "Файл, случайно скачанный из Интернета. Опасно, Уилл Робинсон!" сказал Конвей.
Суффикс.scr предназначен для хранителей экрана Windows, но по сути это специально отформатированные исполняемые файлы для Windows. Расширение.scr часто используется для доставки вредоносных программ ничего не подозревающим пользователям. Когда жертва открывает файл.scr, запускается программа-вымогатель. Все их файлы зашифрованы, и им предъявляется счет в сотни долларов, чтобы вернуть их снова.
Конвей поднял интересный вопрос об этой кампании вымогателей. Злоумышленнику пришлось сделать очень много запутанных шагов, потому что современные инструменты антивирусной и спам-фильтрации достаточно эффективны, поэтому единственный способ добиться успеха - объединить несколько шагов в обход защиты. Если вам кажется, что вам нужно прыгнуть через несколько прыжков, чтобы посмотреть резюме, это должно быть предупреждением о том, что что-то не так. Может быть, тот человек, который стоит за электронной почтой, не очень заинтересован в работе.
