新型网络勒索软件“Knight”通过伪装Tripadvisor投诉邮件传播

关键要点

• Cyclops 勒索软件即服务的运营商发起了一项新的垃圾邮件活动，以 Tripadvisor 投诉邮件的形式传播勒索软件。
• 新版的“Knight”勒索软件通过伪装的 HTML 附件采用浏览器内浏览器（Browser-in-the-Browser）钓鱼技术。
• 用户在点击按钮以“阅读投诉”时，会下载一个含有恶意代码的 Excel 文件。
• 有机会通过文件上的网络标记（Mark of the Web）标记来阻止攻击。

最新报告来自 ，勒索软件“Knight”正通过伪装成 Tripadvisor 投诉邮件的新垃圾邮件活动散播。最初由 Sophos研究员揭示，这项活动涉及一封包含名为“TripAdvisorComplaint.zip”的 ZIP 文件附件的电子邮件，而该 ZIP文件又包含名为“TripAdvisor Complaint - Possible Suspension.exe”的应用程序。

更新版本的这项活动则包含一个类似名称的 HTML 附件，执行时会启动一种浏览器内浏览器（Browser-in-the- Browser）的钓鱼技术，并显示一个假 TripAdvisor 网页，要求用户查看所声称的投诉。用户若点击“阅读投诉”的按钮，则会下载一个包含 .NET插件的 Excel XLL 文件，从而执行恶意软件。

存在一个可能性，即下载文件上的网络标记可能会使攻击失效，或者弹出提示让用户能够保持插件处于禁用状态。如果插件被启用，Knight Lite勒索软件加密器就会被注入到新创建的 explorer.exe 进程中，进而加密设备的文件并插入一份勒索通知。