Według nowej analizy nastąpił wzrost wykorzystania rozszerzeń .com w wiadomościach phishingowych skierowanych do działów usług finansowych.
Tylko w październiku firma antyphishingowa Cofense Intelligence przeanalizowała 132 unikalne próbki z rozszerzeniem .com, w porównaniu do zaledwie 34 próbek przeanalizowanych w ciągu dziewięciu miesięcy wcześniej. Wykorzystano cztery różne rodziny złośliwego oprogramowania.
Tematy i treść wiadomości phishingowych sugerują, że osoba będąca zagrożeniem atakuje w szczególności działy usług finansowych. Dwa najpopularniejsze tematy tematów wykorzystują terminy „płatność” i „zamówienie”, aby zachęcić odbiorców do kliknięcia. Do wiadomości dołączony jest plik .iso zawierający plik wykonywalny .com.
Spośród rodzin złośliwego oprogramowania, które są dostarczane, większość składa się z Loki Bot, AZORult i Hawkeye. Niektóre kampanie zawierają załącznik zawierający taki pośredni dropper i często załącznik ten był uzbrojony w celu wykorzystania CVE lub złośliwego makra, które następnie wdrażało ładunek .com na punkcie końcowym.
Analityk wywiadu Aaron Riley, pisząc na blogu Cofense, mówi: „Cofense Intelligence szacuje, że będziemy świadkami zwiększonej liczby złośliwych programów korzystających z rozszerzenia .com. Podobne kampanie prawdopodobnie rozszerzą się na inne branże, w których można zarabiać na danych, np. sektory telekomunikacyjne. Zwiększone wykorzystanie rozszerzeń .com może być szkodliwe dla sieci przedsiębiorstw, jeśli organizacje nie są na to przygotowane, a gdy już to nastąpi, popularność kolejnego rozszerzenia pliku będzie rosnąć w ramach ciągłych wysiłków, aby wyprzedzić obronę.
Możesz przeczytać więcej o atakach i zarejestrować się w bezpłatnych alertach o zagrożeniach na blogu Cofense.
Kredyt zdjęciowy: wk1003mike / Shutterstock
