Criminelen maken gebruik van zogenaamde TripAdvisor-klachten om onder andere restaurants met ransomware te infecteren. Dat laat beveiligingsonderzoeker Felix Weyne van antivirusbedrijf Sophos via X weten. De e-mail met de vermeende klacht bevat een zip-bestand genaamd TripAdvisorComplaint.zip waarin het bestand 'TripAdvisor Complaint - Possible Suspension.exe' zit. Deze e-mails worden onder andere naar restaurants gestuurd.
Volgens de e-mail zijn er zorgen over de kwaliteit van de aangeboden producten en hygiëne bij de betreffende locatie. De ontvanger wordt opgeroepen de meegestuurde 'klacht' te lezen en binnen 24 uur met een reactie te komen. Wanneer gebruikers dit bestand openen raakt het systeem met de 'Knight' ransomware besmet. Naast het gebruik van een zip-bestand wordt er ook gebruikgemaakt van HTM-bestanden die naar een malafide bestand wijzen.
De ransomware stond eerder nog bekend als de Cyclops maar werd eind juni naar 'Knight-ransomware' hernoemd. Voordat de ransomware allerlei bestanden op het systeem versleutelt worden eerst allerlei inloggegevens gestolen. De Knight-ransomware is namelijk een combinatie van ransomware en een 'infostealer'. De malware steelt inloggegevens uit ftp- en e-mailclients, alsmede browsers op het systeem. Die worden in een met wachtwoord beveiligd zip-bestand opgeslagen en naar de aanvaller gestuurd.
"Het onderwijzen en bevorderen van bewustzijn bij gebruikers is cruciaal in het voorkomen van aanvallen", stelt securitybedrijf Uptycs dat onlangs een analyse van de ransomware maakte. "Gebruikers moeten voorzichtig zijn met e-mailbijlagen, het bezoeken van verdachte websites of het downloaden van bestanden van onbetrouwbare bronnen."
Deze posting is gelocked. Reageren is niet meer mogelijk.