بيت Securitywatch البريد المزعج لذيذ: احترس من المرفقات

البريد المزعج لذيذ: احترس من المرفقات

2024

فيديو: Ù...ØºØ±Ø¨ÙŠØ© Ù...Ø¹ Ø¹Ø´ÙŠÙ‚Ù‡Ø§ ÙÙŠ Ø§Ù„Ø³Ø±ÙŠØ±ØŒ Ø´Ø§Ù‡Ø¯ Ø¨Ù†ÙØ³Ùƒ (سبتمبر 2024)

يعلم معظمنا الآن أنه إذا رأيت ملفًا بملحق exe. كمرفق بريد إلكتروني ، فإن هذا الملف لا يصل إلى مستوى جيد ولا يجب عليك النقر فوقه. لكن ملفات exe ليست الوحيدة التي يجب الانتباه إليها. يشير Cloudmark إلى امتدادات الملفات الأخرى التي يمكن للأشرار استخدامها.

وقالت كلود مارك في أحدث تقرير عن Tasty Spam: "نرى مرسلي البريد العشوائي يحاولون مختلف أسماء الملفات القابلة للتنفيذ في محاولة لخداع المستخدمين المطمئنين إلى تثبيت برامج ضارة". يمكن ضغط.exe في أرشيف.zip أو.rar لتجاوز بعض برامج مكافحة البريد العشوائي وبرامج مكافحة الفيروسات. كما رأى باحثو Cloudmark أرشيف.arj ، وهو تنسيق قديم ، مؤخرًا. قد يحتوي ملف.zip على ملف.scr ، والذي يمثل شاشة توقف Windows. ويعتبر نوع خاص من ويندوز قابل للتنفيذ.

يستخدم مرسلو البريد العشوائي أيضًا ملفات ذات ملحق.com. من غير المعتاد رؤية ملفات.com قيد الاستخدام هذه الأيام لأن حجم الملف القابل للتنفيذ محدود بـ 64 كيلو بايت. ومع ذلك ، فهي كبيرة بما يكفي لتحميل البرامج الضارة. بالنسبة للعديد من الضحايا ، قد يبدو امتداد ملف.com مثل.com في عنوان URL. وقال كلاودمارك "المستخدم الذي يخدع النقر المزدوج على ملف يسمى www.mywebsite.com ربما يقوم بالفعل بتثبيت حصان طروادة بدلاً من اتباع رابط".

تحتوي رسالة البريد العشوائي التالية ، الموجهة إلى المستخدمين البرازيليين ، على رابط مختصرة لعنوان URL يقوم بتنزيل ملف بتنسيق ZIP إلى كمبيوتر الضحية. يحتوي الأرشيف على ملف.cpl ، والذي يمثل لوحة تحكم Windows وهو نوع من الملفات القابلة للتنفيذ.

شهدت Cloudmark حملات غير مرغوب فيها تقوم بتوزيع أحصنة طروادة المصرفية مخبأة داخل ملفات.scr و.cpl مؤخرًا.

يأخذ مرسلو الرسائل غير المرغوب فيها أيضًا نطاقات متشابهة ومواقع مزيفة لخداع الضحايا في تنزيل البرامج الضارة. يبدو أن الرسالة التالية تأتي من موقع برنامج Bitcoin ، Multibit. يكشف الفحص الدقيق للرابط أنه في الواقع يضيء Mu بدلاً من ذلك. تعتبر الأحرف المقلوبة دقيقة بدرجة كافية بحيث لا يلاحظها معظم المستخدمين ، ويبدو أن الصفحة المقصودة شرعية. خدعت هذه الحملة المستخدمين لتنزيل ملفات Java.JAR من الموقع. قام العديد من المستخدمين بإلغاء تثبيت Java من أجهزة الكمبيوتر الخاصة بهم ، ولكن لا يزال هناك عدد كاف من الأشخاص الذين تم تثبيت Java Runtime Environment على أجهزة الكمبيوتر الخاصة بهم. يستمر مؤلفو البرامج الضارة في استهداف Java لهذا السبب وحده.

وأخيرًا ، أخفت سلالة أخيرة من رانسومواري تستهدف مستخدمي البريد الإلكتروني الإيطالي ملفات.exe باستخدام أسماء الملفات التي تبدو كما يلي: Document_Pdf________________.exe. "إذا فاتتك.EXE بعد تسطير أسفل السطر السفلي ثم حاولت فتح PDF ، فستجد كل ملفاتك الملفات المشفرة والطلب فدية على الشاشة ".