onsdag 16 mars 2016

E-post med bifogade Javascript laddar ner Ransomware

Under de senaste veckorna har WeCloud noterat hundra tusentals nya skadliga Javascript bifogade i e-postmeddelanden. Om de bifogade filerna öppnas laddar de ner skadlig kod från webben. Javascript är extremt ovanliga i legitim e-post och ett enkelt sätt att minska riskerna är att helt enkelt blockera e-post som innehåller filer av typen .js och .jse.

De pågående attackerna startade för några veckor sedan och bygger på e-post med bifogade filer som i sin tur hämtar hem ny skadlig kod från webben. De flesta varianterna handlar om "downloaders" och hämtar hem ransomware som krypterar filer på mottagarens system och kräver en lösensumma för att dekryptera filerna.

Javascripten passerar ofta under radarn för traditionella antivirusprogram eftersom nya versioner släpps i extremt snabb takt. WeCloud har noterat mer än hundra nya varianter under en enda minut. Tester på både Virus Total och MetaScan visar att inga, eller väldigt få, antivirusmotorer blockar de nya varianterna under de första timmarna.

Javaskripten skickas oftast i bifogade ZIP-filer. För att skriptet ska exekvera krävs flera steg av användaren. ZIP-filen måste öppnas innan javascriptet kan aktiveras.


Javascripten skickas i bifogade ZIP-filer

De skadliga Javascripten kamouflerar koden och URL'er för att undvika direkta matchningar mot statiska URL-signaturer. Adresserna där ny skadlig kod hämtas delas upp i flera olika segment och pusslas ihop när skriptet aktiveras.


Host och URL delas upp för att kringgå URL-kontroller
Koden i javascripten är inte farliga i sig och ställer inte till någon oreda hos mottagaren. Istället är de är designade för att enbart ladda ner den riktigt illasinnade koden från webben och exekvera den. Detta är en av anledningarna till att de är svårare att detektera med traditionella antivirusprogram.  

-Det handlar om en mycket medveten taktik från förövarna. De flesta företag blockerar de klassiska exekverbara filtyperna, men tillåter ofta mottagning av olika typer av skript och makron. Detta utnyttjas just nu av illasinnade brottslingar som vill tjäna snabba pengar på lösensummor, säger Rikard Zetterberg, VD på WeCloud.

Genom enkla policys kan riskerna att infekteras enkelt minskas. De flesta e-postfilter har funktioner för att blockera specifika filtyper. Läs mer om vilka filtyper som WeCloud rekommenderar att man blockerar i sitt e-postfilter här. 

Modern säkerhet kräver mer än bara antivirus enligt Rikard Zetterberg. -Verksamheter måste börja arbeta aktivt med policys och även kombinera flera olika metoder för att kunna blockera moderna hot. Policy och statiska signaturbaserade lösningar täcker en del men bör kombineras med heuristisk och beteendeanalys för att nå ett effektivt skydd.

En annan vanlig metod att sprida "downloaders" som laddar hem skadlig kod från webben är bifogade Office-dokument med inbyggda makron. WeCloud introducerade i veckan en mer aggressiv heuristisk analys av filer som innehåller makron för att ytterligare förbättra skyddet mot denna typ av attacker. Läs mer om WeCloud Email Security här.

www.wecloud.se
info@wecloud.se