Пользователи в большинстве своем научились не открывать DOC-, RTF- и PDF-файлы, прикрепленные к спам-письмам. Однако киберпреступники продолжают разрабатывать новые техники обмана пользователей. Эксперты Symantec сообщают, что злоумышленники начали пользоваться вредоносными WSF-файлами для того, чтобы распространять троянские программы.
На протяжении последних двух недель исследователи обнаружили несколько крупных спам-кампаний, в рамках которых хакеры пользовались WSF-файлами для того, чтобы распространять вымогательскую программу Locky.
WSF-файл может быть написан как с помощью JScript и VBScript, так и с применением других скриптовых языков. За открытие и запуск данных файлов отвечает компонент Windows Script Host (WSH). По словам специалистов Symantec, некоторые почтовые клиенты не блокируют WSF-файлы в автоматическом режиме и могут запускать их как исполняемые файлы.
Так, в рамках одной из киберкампаний злоумышленники организовали рассылку спам-писем с вложенным ZIP-архивом, который содержит вредоносный WSF-файл, запускающий процесс загрузки вымогательской программы Locky.
Эксперты зафиксировали рост активности киберкампаний с использованием вредоносных WSF-файлов, вложенных в электронные письма. В июне текущего года было обнаружено 22000 подобных писем, в июле – 2000000, а в сентябре – 2200000.