Ransomware TorrentLocker se šíří přes Dropbox

27. 3. 2017 v sekci Článek

Podle Trend Micro se objevily nové varianty ransomwaru TorrentLocker, který byl v poslední době na zdánlivém ústupu. Doposud si veřejnost hrozby typu ransomware spojovala především s elektronickou poštou a dokumenty, nicméně ransomware se vyvíjí a hledá nové neobvyklé metody, jak se ke svým obětem dostat.

Na rozdíl od klasických mechanismů útoku neposílají nové varianty ransomwaru TorrentLocker nakažené dokumenty přímo, ale pošlou jen odkaz na cloudové úložiště Dropbox. Samotná zpráva vypadá důvěryhodně a informuje o faktuře související s organizací, ve které oběť pracuje. Nechybí ani základní platební údaje. Tento způsob šíření je nicméně velmi nebezpečný, protože bez znalosti tohoto mechanismu neumožňuje odchycení problémového e-mailu na bezpečnostních branách – jednoduše proto, že e-mail žádný zákeřný soubor neobsahuje a odkaz směřuje na legitimní web.

Po otevření se stáhne JavaScript, který vypadá jako faktura. A při pokusu o její otevření dojde ke stažení dalšího „zašifrovaného“ kódu do paměti počítače a aktivování TorrentLockeru. Zákeřnost nových variant souvisí i s tím, že s cílem předejít odhalení používá instalační techniky NSIS (Nullsoft Scriptable Install System).

Dropbox běžně využívají nejen koncoví uživatelé, ale také firmy, takže je pravděpodobnost otevření odkazu zaměstnanci vysoká.

Vzhledem k posunu ve způsobech útoků je důležité, aby organizace posílily bezpečnostní opatření a věnovaly zvýšenou pozornost seznámení zaměstnanců s novými druhy nebezpečí využívajícími prvky sociálního inženýrství.