مؤسسه Talos از به راه افتادن سه کارزار هرزنامهای خبر داده که همگی آنها اقدام به انتشار گونه جدیدی از باجافزار معروف و بسیار مخرب Locky میکنند. در این کارزارها، به ایمیل کاربران هرزنامههایی ارسال میشود که با اجرای پیوست آنها دستگاه کاربر آلوده به Locky میشود.
پیوست هرزنامههای نخستین کارزار، حاوی فایلی با پسوند HTA است که وظیفه آن دریافت و اجرای باج افزار مخرب Locky بر روی دستگاه قربانی است. فایلهای HTA، قابلیت اجرا شدن بر روی مرورگر – فارغ از محدودیتهای امنیتی لحاظ شده در آن مرورگر – را دارا هستند. در این ایمیلها کاربر تشویق میشود که فایل پیوست ایمیل را که در ظاهر یک رسید است باز کند.
عنوان این ایمیلها ###-### Receipt است که در آن # معرف یک عدد است. فایل HTA نیز Receipt #####-######.hta نام دارد که خود در یک فایل فشرده شده با عنوان Receipt ###-###.zip به ایمیل پیوست شده است. با اجرای فایل توسط کاربر باجافزار Locky از اینترنت دریافت شده و بر روی دستگاه اجرا میشود.
کد HTA نیز مشابه بسیاری از بدافزارهای حرفهای مبهمسازی شده است. برای این منظور از متغیرهای متعدد که البته تمامی آنها کلمه PUMPKIN را در خود دارند استفاده شده است. کلمه PUMPKIN به معنای کدو تنبل است که شاید با مراسم هالووین در این ایام بیارتباط نباشد.
مؤسسه Talos گفته که بیش از ۱۳ هزار ایمیل این کارزار را شناسایی کرده است.
در کارزار دوم، از فایلهای JavaScript – با پسوند JS – برای انتشار باجافزار Locky استفاده میشود. عنوان ایمیلهای این کارزار Complaint letter است. مؤسسه Talos اعلام کرده که تنها در سه ساعت نزدیک به ۴ هزار عدد از هرزنامه های این کارزار را مشاهده کرده است. پیوست این ایمیلها فایل فشردهای با عنوان saved_letter_#########.zip است که خود نیز حاوی فایلی با نام saved letter ######.js است.
در کارزار سوم از دانلودکنندههای WSF استفاده شده است. تعداد ایمیلهای شناسایی شده این کارزار مجموعاً ۱۵۴ گزارش شده که ۱۳۳ عدد آنها کاربران فرانسوی زبان را هدف قرار دادهاند. در این ایمیلها اینطور القا میشود که ایمیل از سمت یک رسانه فرانسوی به نام Free ارسال شده و حاوی یک فاکتور است.
عنوان سایر ایمیلهای این کمپین نیز به شرح زیر است:
We could not deliver your parcel, #000990048
Unable to deliver your item, #0000248834
Problem with parcel shipping, ID:00480186
محققان Talos بر این باورند که کارزار سوم فعلاً مرحله آزمایشی خود را طی میکند. بخصوص آنکه پیوست برخی از ایمیلهای آنها نیز خراب بوده و توانایی اجرا شدن را ندارند. پسوند این فایلها doc.wsf. گزارش شده است.
بدافزار منتشر شده توسط این سه کارزار گونه جدیدی از باج افزار قدرتمند Locky است که تغییرات زیر را نسبت به گونههای پیشین در خود دارد:
- نشانی URL اشاره کننده به سرور فرماندهی به linuxsucks.php/ تغییر یافته است.
- پسوند فایلهای رمز شده به shit. تغییر داده شده است.
- همچنین نام فایل حاوی دستورالعمل پرداخت باج به WHAT_is.htm_ تغییر یافته است.
