最新报告来自 BleepingComputer,勒索软件“Knight”正通过伪装成 Tripadvisor 投诉邮件的新垃圾邮件活动散播。最初由 Sophos 研究员揭示,这项活动涉及一封包含名为“TripAdvisorComplaintzip”的 ZIP 文件附件的电子邮件,而该 ZIP 文件又包含名为“TripAdvisor Complaint Possible Suspensionexe”的应用程序。
更新版本的这项活动则包含一个类似名称的 HTML 附件,执行时会启动一种浏览器内浏览器BrowserintheBrowser的钓鱼技术,并显示一个假 TripAdvisor 网页,要求用户查看所声称的投诉。用户若点击“阅读投诉”的按钮,则会下载一个包含 NET 插件的 Excel XLL 文件,从而执行恶意软件。
海鸥加速器6.6.2版本潜在风险解决方案启用插件可能导致感染通过网络标记阻止攻击或禁用插件存在一个可能性,即下载文件上的网络标记可能会使攻击失效,或者弹出提示让用户能够保持插件处于禁用状态。如果插件被启用,Knight Lite 勒索软件加密器就会被注入到新创建的 explorerexe 进程中,进而加密设备的文件并插入一份勒索通知。
