سیمانتک درباره ایمیلهایی که از پروندههای مخرب WSF استفاده میکنند هشدار داد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، متخصصان امنیتی سیمانتک میگویند افزایش قابلتوجهی را در تعداد حملات مبتنیبر ایمیل مشاهده کردهاند که در آنها از پروندههای مخرب WSF بهعنوان ضمیمه استفاده میشود. سیمانتک میگوید طی سهماه گذشته، مهاجمان بهخصوص سازمانهای خرابکارانه فعال در پویشهای باجافزاری از این روش استفاده کردهاند.
طی دو هفته گذشته، سیمانتک تعداد زیادی پویش توزیعکننده باجافزار Locky را که شامل پروندههای WSF مخرب بودهاند، مسدود کرده است.
WSF یک نوع پرونده است که اجازه میدهد زبانهای اسکریپتنویسی مانند پایتون، Jscript و VBScript در قالب یک پرونده ترکیب شوند. پروندههای WSF توسط میزبان اسکریپت ویندوز(WSH)، همانند یک پرونده اجرایی معمولی باز و اجرا میشوند.
سیمانتک میگوید پروندههای .wsf در برخی برنامههای ایمیلی بهطور خودکار مسدود نمیشوند. این اواخر مجرمانی مشاهده شدهاند که از این ویژگی برای توزیع باجافزار Locky استفاده کردهاند.
سیمانتک در ادامه میگوید در ۳ و ۴ اکتبر، بیش از ۱.۳ میلیون ایمیل که عنوان «برنامه سفر» داشتهاند، مسدود کردهاست. در این پویش، نفوذگران مدعی بودهاند که ایمیل را از یک خط هواپیمایی اصلی ارسال میکنند. این ایمیلها شامل یک پرونده WSF در قالب یک پرونده zip. بودند.
این شرکت امنیتی میگوید در تاریخ ۵ اکتبر همان عامل مخرب اقدام به ارسال هرزنامههایی با عنوان «نامه شکایت» کردهاست. «سیمانتک ۹۱۸ هزار مورد از این ایمیلها را مسدود کردهاست. این ایمیلها در ظاهر از سوی فردی ارسال شدهبودند که درباره پرونده ارسالشده از سوی صاحبان ایمیل شکایت داشتهاست. این هرزنامهها هم شامل پرونده WSF درون پرونده zip. بودند. اگر کاربر پرونده WSF را اجرا کند، باجافزار Locky بر روی ایمیل قربانی نصب میشود.»
متخصصان امنیتی سیمانتک معتقدند استفاده از پروندههای WSF. روند گستردهتری خواهد یافت. «تحلیلهای موجود نشان میدهند ایمیلهایی که شامل این پروندهها بودهاند از ۲۲هزار مورد در ماه ژوئن، به دومیلیون مورد در ماه جولای رسیدهاند. در ماه سپتامبر نیز این رکورد شکسته شده و ۲.۲ میلیون ایمیل شامل این پروندهها مسدود شدند.»
مجرمان سایبری اغلب اوقات از روشهای جدید استفاده کرده و قالب ضمیمههای مخرب خود را تغییر میدهند تا شناسایی نشوند.