重新品牌的骑士 RaaS 发起垃圾邮件活动 媒体

新型网络勒索软件“Knight”通过伪装Tripadvisor投诉邮件传播

关键要点

最新报告来自 BleepingComputer，勒索软件“Knight”正通过伪装成 Tripadvisor 投诉邮件的新垃圾邮件活动散播。最初由 Sophos 研究员揭示，这项活动涉及一封包含名为“TripAdvisorComplaintzip”的 ZIP 文件附件的电子邮件，而该 ZIP 文件又包含名为“TripAdvisor Complaint Possible Suspensionexe”的应用程序。

更新版本的这项活动则包含一个类似名称的 HTML 附件，执行时会启动一种浏览器内浏览器BrowserintheBrowser的钓鱼技术，并显示一个假 TripAdvisor 网页，要求用户查看所声称的投诉。用户若点击“阅读投诉”的按钮，则会下载一个包含 NET 插件的 Excel XLL 文件，从而执行恶意软件。

存在一个可能性，即下载文件上的网络标记可能会使攻击失效，或者弹出提示让用户能够保持插件处于禁用状态。如果插件被启用，Knight Lite 勒索软件加密器就会被注入到新创建的 explorerexe 进程中，进而加密设备的文件并插入一份勒索通知。