【51CTO.com原创稿件】日前,据国外媒体报道,过去一年,攻击者采用JavaScript利用电子邮件附件分发恶意软件的做法正在发生改变。他们正在切换到较少可疑的文件类型来诱骗广大用户。
就在上周,有来自微软恶意软件保护中心的研究人员发出警告,称当前有进行ZIP压缩文件内恶意.LNK文件的垃圾邮件涌现的新风潮。这些文件具有附加的恶意PowerShell脚本。
据介绍,PowerShell是一种用于自动执行Windows系统管理任务的脚本语言。该语言过去已多次被滥用于下载恶意软件,甚至有恶意软件程序完全写在PowerShel内。
在微软近期的检测活动中表明,恶意LNK文件包含一个PowerShell脚本,该脚本下载并安装了Kovter的点击欺诈木马。过去攻击者已经使用相同的技术来分发Locky勒索软件。
英特尔安全公司的研究人员也在最近警告称,PowerShell也可以用于所谓的无文件攻击。其中为通过终端安全产品的检测,恶意代码可以直接在内存中启动,而没有任何东西被保存到磁盘。
“你或许会认为你是受到无文件恶意软件的保护,因为你的PowerShell执行策略被设置为'限制',那这样的脚本不能运行。”英特尔安全研究人员说,“但是,攻击者可以轻易绕过这些策略。”
用于在最近几个月分发恶意软件的另一种文件类型是SVG(可缩放向量图形)。虽然很多人能够正确地将.SVG文件与图像相关联,但一个鲜为人知的事实是,这些文件实际上可能包含JavaScript。
攻击者一直在使用SVG文件来执行模糊的JavaScript,当用户打开他们认为是他们浏览器中的图像时,这些模糊的脚本就会用来运行恶意文件下载,来自SANS互联网风暴中心的事件响应者在近期的一份报告中警告说。
有消息称Google计划从2月13日起在Gmail中拦截带有JavaScript文件的附件,无论是直接附加的还是像ZIP这样的压缩文件。而来自电子邮件服务商的这种限制可能会迫使网络攻击者找到可以隐藏恶意代码的替代文件格式。
禁止LNK或JS文件附件很容易,因为很少有人通过电子邮件发送这样的文件。然而,想要禁止SVG可能有些不切实际,因为它是一种被广泛使用的图像格式。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
了解更多热点新闻,请关注51CTO《科技新闻早报》栏目!
