Locky Ransomware distribueras via DDE-Attack

Computer Security News

Locky ransomware har nyligen ändrat sina attack tekniker igen, försöker undvika upptäckt och förbättra infektionsfrekvensen.

Bland de nya metoderna för distribution är användningen av dynamiska Data Exchange (DDE) protokoll som tillåter Windows-program att överföra data mellan dem.

DDE-protokollet har en uppsättning meddelanden och riktlinjer och använder delat minne för att utbyta data mellan program.

Hackare hittat hur du använder DDE med Office-dokument och automatiskt köra malware utan att använda makron.

DDE, som låter ett Office-program som läser in data från ett annat Office-program, fortsätter att stödjas, även om det ersattes av Microsoft objektlänkning och inbäddning (OLE).

För en tid sedan märkte säkerhetsexperter samma teknik som var anställd av gruppen FIN7 hacking i DNSMessenger malware attacker.

Enligt Internet Storm Center (ISC) hanteraren Brad Duncan, kan det också vara associerade med en Hancitor malware kampanj som registrerades förra veckan.

Duncan säger att Locky har också antagit användningen av Office-dokument och DDE för infektion. De fästes meddelanden förklädd till fakturor och levereras via skräppost med ursprung från Necurs.

Analyserat attacken används en första etappen malware som uppnått persistens på äventyras systemet. Däremot, var den Locky binärfilen borttagna efter infektion.

Användning av DDE för infektion ändå bara en av de metoder som används av de Locky ransomware.

Enligt Trend Micro distribueras Necurs också hotet via HTML-bilagor förklädd till fakturor, Word-dokument bäddas in med skadlig makrokod eller Visual Basic-skript (VBS), skadliga webbadresser i spam-mail, och VBS, JS, och JSE filer arkiveras via RAR, ZIP eller 7ZIP.

Nyligen har observerade forskarna Necurs-fueled distribution kampanjer som var att lämna den TrickBot bank Trojan via samma bilagor som transporterar de Locky ransomware.


Leave a Reply

Your email address will not be published. Required fields are marked *