勒索軟體Knight隱身於偽造的Tripadvisor投訴釣魚信件

資安公司Uptycs在6月發現的勒索軟體即服務Cyclops，於7月經過品牌再造重新命名為Knight，並且推出資料洩漏網站，以及適合批次發布的Knight Lite精簡版。Sophos研究員Felix Weyne近期於一個垃圾郵件活動中，發現Knight的蹤跡，而外國資安媒體《BleepingComputer》進一步分析，發現這些釣魚電子郵件包含了HTML附件，誘使受害者點擊並下載勒索軟體。不過，目前尚未有受害者的資料被公布在資料洩漏網站上，

資安業者Uptycs在6月的時候發現了Cyclops，這款勒索軟體工具被以服務的形式銷售，當買家利用該工具發動攻擊並成功收取贖金，工具賣家將獲得贖金抽成。Cyclops的多項工具都是以Go語言開發而成，該勒索軟體的特別之處，在於能跨Windows、Linux、macOS作業系統發動攻擊。而在加密受害者系統檔案之前，還會偷偷先以竊資軟體將特定類型資料回傳伺服器，以便在之後進行雙重勒索。

Sophos研究員Felix Weyne透過靜態方法偵測到Knight勒索軟體，Knight勒索軟體會注入到由VMWare簽署的7-zip二進位檔案，包裝在名為TripAdvisor Complaint的壓縮檔中，透過社交工程攻擊，試圖誘騙用戶點擊假冒為TripAdvisor投訴文件，實際上卻是包含勒索軟體的惡意網頁。

《BleepingComputer》研究人員深入分析該釣魚活動，發現當用戶打開信件中夾帶的HTML檔案，該檔案會使用BitB （Browser-in-the-Browser）攻擊技術，在瀏覽器中嵌入一個偽造的TripAdvisor登入頁面，這個假瀏覽器視窗佯裝成由餐廳提交的投訴文件，並要求用戶查看，一旦用戶點擊閱讀投訴的按鈕，系統便會下載惡意Excel擴充檔案類型XLL檔案。

用戶只要打開XLL檔案便會執行惡意軟體，當該擴充套件項目啟動，便會使Knight Lite勒索軟體加密器被注入到explorer.exe中，並開始加密電腦上的檔案。Knight在加密檔案時，會將.knight_l添加到加密檔案的文件名稱中，其中l可能代表著Lite。勒索軟體還會在每個資料夾創建一個名為How To Restore Your Files.txt的檔案，上面寫著受害者只需支付5,000美元的比特幣，便可救回遭加密的檔案。

但是《BleepingComputer》發現，駭客在每個勒索信文件檔都使用同一個加密錢包，攻擊者可能不知道哪些受害者已經支付贖金，任何人都可以宣稱是款項的擁有人，因此即便受害者支付贖金，也可能無法收到解密器。