Mole Ransomware: How One Malicious Spam Campaign Quickly Increased Complexity and Changed Tactics

มัลแวร์เรียกค่าไถ่ Mole (ถูกเรียกตามพฤติกรรมการเปลี่ยนนามสกุลหลังเข้ารหัสไฟล์เป็น .Mole) ได้ถูกตรวจพบโดยทีม Unit 42 จาก Palo Alto เมื่อวานที่ผ่านมา

จุดน่าสนใจของ Mole คือวิธีในการแพร่กระจาย Unit 42 ตรวจพบการแพร่กระจายของ Mole ครั้งแรกในลักษณะของอีเมลที่มีลิงค์ไปยังบริการ Microsoft Word แบบปลอมซึ่งจะร้องขอให้ผู้ใช้ติดตั้งปลั๊กอินเพิ่มเติม (มัลแวร์) โดยให้ดาวโหลดจากลิงค์ของ Google Doc
อีกไม่กี่วันต่อมา ผู้ที่อยู่เบื้องหลังการแพร่กระจายได้เปลี่ยนรูปแบบของปลั๊กอินเพิ่มเติมปลอมโดยให้ดาวโหลดเป็นไฟล์ ZIP เพื่อรันจาวาสคริปต์ที่เป็นอันตราย (เป็นลักษณะของมัลแวร์ downloder ชื่อว่า Nemucod) อีกทั้งยังเพิ่มมัลแวร์ Kovter และ Miuref เข้าเป็นส่วนหนึ่งในการแพร่กระจายอีกด้วย

ลักษณะของอีเมลที่ใช้ในการแพร่กระจายจะมีหัวข้อเมล อาทิ ATTENTION REQUIRED, AUTOMATED, IMPORTANT USPS, WARNING โดยมีชื่อผู้ส่งเป็นคำว่า USPS นำหน้า
IOC ของมัลแวร์เรียกค่าไถ่ Mole

ที่มา: researchcenter

Read more