HackerNews.cc 11 月 12 日消息，网络安全公司 Avira 研究人员近期发现勒索软件 Locky 出现新型变种，不仅可以通过僵尸网络 Necurs 开展大规模钓鱼攻击活动，还可利用动态数据交换（DDE）协议进行数据传输，从而规避安全软件检测的同时窃取用户重要信息。 研究显示，目前黑客主要通过合法的 Libre 与 Office 文件肆意分发恶意软件。一旦用户打开该恶意文件后系统将会自动触发一系列程序，从而最终在受害设备上对用户文件进行加密处理后发送到指定 C&C 服务器。研究人员在分析该恶意文件时还发现其中包含一份 LNK 文档，允许黑客通过粘贴的方式将命令复制到用户文本编辑器中，以便运行 PowerShell 脚本。 研究人员表示，该脚本内容清晰、极易阅读，其目的是从脚本嵌入的链接中下载另一个 PowerShell 脚本并通过 Invoke-Expression 函数运行。然而，第二个脚本所连接的服务器由黑客控制，并在下载该脚本时自动运行一份 Windows 可执行文件，其中包含多个阶段的混淆代码，以致诱导用户认为这是一个安全的文件。目前，研究人员认为勒索软件 Locky 的快速演变在当今的威胁领域中着实令人担忧，因为它还将继续进行深度 “优化”，从而感染更多设备。 原作者：Pierluigi Paganini，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

此前，报道过 Facebook 上出现了一种它看起来像一份 SVG 图像文件的新型的恶意软件。现在，安全公司 Checkpoint 研究员发现了一种新的基于恶意软件的活动，使用一种称为 “ImageGate” 的图像模糊技术绕过 Facebook 的安全检查，传播包含勒索软件 Locky 的 HTA 文件。 攻击者设计出一个嵌入恶意代码的 .JPG 镜像文件，并成功地绕过安全检查将其上传到社交媒体平台 Facebook Messenger。此后，攻击者设计出一个嵌入恶意代码的镜像文件，并成功地绕过安全检查将其上传到社交媒体平台 Facebook。接着，攻击者利用 Facebook 基础设施上的配置错误故意强迫受害者下载图像文件，这将导致用户的设备感染勒索软件。受害者点击附件后，系统会生成保存文件的提示并下载 HTA 文件。 Check Point 建议的防范措施如下： 1、若点击图像后浏览器开始下载文件，切勿打开。正常情况下社交网站上的图片无需下载即可浏览。 2、不要打开带有不常见扩展名（如SVG，JS或HTA）的任何图像文件。 稿源：本站翻译整理，封面来源：百度搜索