Locky Ransomware didistribusikan melalui DDE serangan

Computer Security News

Locky ransomware baru-baru ini telah berubah dengan teknik serangan lagi, mencoba untuk menghindari Deteksi dan meningkatkan tingkat infeksi.

Di antara metode baru distribusi adalah penggunaan Dynamic Data Exchange (DDE) protokol yang memungkinkan aplikasi Windows untuk mentransfer data antara mereka.

Protokol DDE memiliki seperangkat pesan dan pedoman dan menggunakan berbagi memori untuk pertukaran data di antara aplikasi.

Hacker menemukan bagaimana menggunakan DDE dengan dokumen Office dan malware secara otomatis menjalankan tanpa menggunakan macro.

DDE, yang memungkinkan aplikasi Office meload data dari aplikasi Office lain, terus didukung, meskipun ia telah digantikan oleh Microsoft dengan objek menghubungkan dan Embedding (OLE).

Beberapa waktu lalu, pakar keamanan melihat teknik yang sama yang dipekerjakan oleh kelompok hacking FIN7 dalam serangan malware DNSMessenger.

Menurut Internet pusat badai (ISC) handler Brad Duncan, juga dapat dikaitkan dengan kampanye malware Hancitor yang terdaftar minggu lalu.

Duncan mengatakan bahwa Locky juga telah mengadopsi penggunaan dokumen Office dan DDE untuk infeksi. Mereka yang dilampirkan ke pesan yang menyamar sebagai faktur dan dikirimkan melalui email spam yang berasal dari Necurs.

Serangan dianalisis digunakan malware tahap pertama yang mencapai ketekunan pada sistem dikompromikan. Di sisi lain, biner Locky adalah infeksi pasca dihapus.

Namun demikian, penggunaan DDE untuk infeksi adalah hanya salah satu metode yang digunakan oleh Locky ransomware.

Sesuai Trend Micro, Necurs juga didistribusikan ancaman melalui HTML lampiran menyamar sebagai faktur, dokumen Word yang tertanam dengan kode berbahaya makro atau Visual Basic script (VBS), berbahaya URL dalam email spam, dan VBS, JS, dan JSE file diarsipkan melalui RAR, ZIP atau 7ZIP.

Baru-baru ini, para peneliti mengamati kampanye distribusi berbahan Necurs yang menjatuhkan TrickBot Trojan perbankan melalui sama lampiran membawa Locky ransomware.


Leave a Reply

Your email address will not be published. Required fields are marked *