De malware forfattere bag Locky og Zepto ransomware projekter beviste endnu engang, at de arbejder hele tiden, ikke kun til at inficere flere og flere brugere og forblive på toppen af ransomware diagram, men de arbejder også på selve infektionsproceduren for at gøre disse angreb endnu mere succesrige – ved hjælp af .DLL-filinjektion.
På denne måde, disse cyber-kriminelle har forbedret infektionsmetoderne er, at de fokuserede på en meget vigtig "flaskehals" - de typer filer, der bruges til at udføre krypteringen og falde den ondsindede kryptering og andre supportmoduler i ransomware.
Hvorfor den nye infektionsmetode?
Hackingteamet bag Locky og Zepto der hidtil er ukendt og ønsket endnu har tidligere brugt forskellige spredningsmetoder, som JavaScript (.JS) filer, også kendt som "fileless" ransomware og også ondsindede eksekverbare og udnyttelsessæt, der er direkte knyttet til e-mails og ondsindede webadresser. Dette har resulteret i stor succes med infektioner, fordi disse filer blev godt tilsløret og spredt massivt.
relateret artikel: Locky, Dridex Botnet har også leveret TeslaCrypt(Mere information om Locky-spaminfektioner)
Men, i modsætning til de tidligere anvendte eksekverbare filer, hackerne bag Locky ransomware har endnu engang foretaget en ændring, hvilket skaber muligheden for at køre en .dll-fil via processen rundll32.exe. Da de fleste antivirusprodukter ikke registrerer mistænkelige aktiviteter, fordi de har tendens til at indstille denne proces som en legitim, og springe over at scanne den efter ondsindede aktiviteter, systemerne bliver inficeret med enten Zepto eller Locky, stadig krypterende filer for ofre.
Hvordan fungerer en DLL-infektion?
For at forstå, hvordan denne infektionsproces fungerer, vi er nødt til at dissekere, hvad rundll32.exe-processen nøjagtigt udfører.
Oprindeligt er rundll32.exe et program, der bruges til at køre det såkaldte Dynamic Link Library (DLL) filer, fordi de ikke har nogen måde at blive henrettet direkte på. Dette er en måde, og sandsynligvis teknikken Locky eller Zepto kan bruge til at inficere offerets computer med succes. Men, undertiden fanger anti-malware-programmer mistænkelig aktivitet, og det er derfor, virussen bruger den såkaldte procesforstyrrelse, gør DLL-filen for at springe de nyeste antivirusdefinitioner over. Sådanne obfuskatorer, også kendt som filkryptorer, er meget dyre, og deres evne til at forblive ubemærket forsvinder ekstremt hurtigt, fordi de fleste antivirusprogrammer opdateres meget ofte.
Locky og Zepto fortsætter deres kampagner endnu kraftigere
Locky og Zepto ransomware er et af de største navne i ransomware-verdenen. Brugen af disse vira antyder, at holdet bag dem har brugt meget tid på at holde disse vira i live og har også stor erfaring inden for dette felt. En indikator for dette er, at viraerne stadig inficerer brugere, og de fleste ransomware-vira slutter normalt deres livscyklus efter korte perioder. Men, de stadigt skiftende infektionsmetoder (JavaScript, Ondsindede Eksekverbare, Fjernbetjening) foreslår, at Locky og Zepto er her for at blive og fortsætter med at tjene penge på brugernes bekostning.
Ventsislav Krastev
Ventsislav er cybersikkerhedsekspert hos SensorsTechForum siden 2015. Han har forsket, tildækning, hjælpe ofre med de nyeste malware-infektioner plus test og gennemgang af software og den nyeste teknologiudvikling. Have uddannet Marketing samt, Ventsislav har også lidenskab for at lære nye skift og innovationer inden for cybersikkerhed, der bliver spiludskiftere. Efter at have studeret Management Chain Management, Netværksadministration og computeradministration af systemapplikationer, han fandt sit rigtige kald inden for cybersecurity-branchen og er en stærk troende på uddannelse af enhver bruger til online sikkerhed og sikkerhed.
Følg mig: