“染毒”的甜点

作者：趋势科技资深威胁研究员 RobertMcArdle

过去几天里，趋势科技一直在观察一家总部位在法国的著名甜点公司网站Laduree.fr。虽然它看来不像是网络犯罪份子的目标，但Ladurée 的网站已经被入侵，并被用于让访客感染勒索软件。这个被命名为TROJ_RANSOM.BOV的勒索软件Ransomware会伪装成来自法国国家宪兵队（俗称“法国警队”）的通知。该软件会显示一个覆盖整个桌面的窗口，要求用户付钱，也就是绑架系统后所要支付的赎金。

图注：Laduree.fr 蛋糕甜点名店的网站被用来传播勒索软件

除了感染访问Ladurée 网站的法国用户外，日本也开始出现类似的状况。事实证明 Ladurée 的甜点也在日本很流行。实际上 Ladurée 网站就只有法语、英语和日语三种版本。

利用甜点公司的网站，可以看出网络犯罪分子的确可以很灵活地挑选攻击目标，并找到潜在的受害者。

相关攻击

在这起攻击中，网络罪犯利用黑洞漏洞攻击包将恶意软件植入系统。这与过去假冒其他执法单位的攻击所用的恶意软件属于同一种类型，例如以前假冒德国联邦警察的事件。这一恶意软件除了具备勒索软件的组件外，还包含多种与程序和网站有关的身分认证组件，可识别电子邮件帐号、浏览器密码、社交网站、在线赌博网站、FTP密码，以及远程桌面密码等。

趋势科技注意到这个用来放置漏洞攻击包的域名已经被关闭了。根据记录，该域名是在2012年2月9日建立的，最后一次更新是在2月14日。这个网域的注册者用的是.ru后缀的电子邮件地址，这可能有助于找出可疑嫌犯，不过最终很有可能也就是一个被盗用的电子邮件帐号，所以这类信息并不可靠。例如，WHOIS数据指出，该域名的所有者住在莫斯科，但电子邮件帐号却说域名所有者应该是位于距离莫斯科4个小时车程的其他城市。

我们还发现位于相同IP地址段中，和这次攻击活动有关的其他域名。这些相关网站都来自同一个集团，但并没有用在这次攻击中。这群黑客团体还伪造了来自义大利、西班牙、德国、比利时等地的警方通知。每个域名都用不同电子邮件地址注册，而大多数都是.ru后缀的电子邮件地址，但同样，这很有可能是被盗的帐号。

勒索软件成为有利可图的商业模式

网络犯罪份子让威胁变得更加有效，也更加难以清除，这也让他们有更多赚大钱的机会。然而这次的勒索软件攻击也证明，有时最简单直接的威胁依然是有用的。虽然对用户来说，要求的赎金和他们的数据价值相比可能微不足道，但如果将金额乘上好几千倍，那么就是一笔不小的数字，这自然值得黑客计划出更复杂，可能也更具破坏性的攻击。

 

＠原文出处：CompromisedWebsite for Luxury Cakes and Pastries Spreads Ransomware

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！

爱趋势社区--下载/论坛/分享  http://www.iqushi.com

官方微博—拿礼品/分享最新IT资讯  http://t.sina.com.cn/trendcloud

趋势科技CEO：陈怡桦EvaChen的微博  http://weibo.com/evatrendmicro