【51CTO.com原創(chuàng)稿件】日前，據(jù)國外媒體報道，過去一年，攻擊者采用JavaScript利用電子郵件附件分發(fā)惡意軟件的做法正在發(fā)生改變。他們正在切換到較少可疑的文件類型來誘騙廣大用戶。

就在上周，有來自微軟惡意軟件保護中心的研究人員發(fā)出警告，稱當(dāng)前有進行ZIP壓縮文件內(nèi)惡意.LNK文件的垃圾郵件涌現(xiàn)的新風(fēng)潮。這些文件具有附加的惡意PowerShell腳本。

[[182780]]

據(jù)介紹，PowerShell是一種用于自動執(zhí)行Windows系統(tǒng)管理任務(wù)的腳本語言。該語言過去已多次被濫用于下載惡意軟件，甚至有惡意軟件程序完全寫在PowerShel內(nèi)。

在微軟近期的檢測活動中表明，惡意LNK文件包含一個PowerShell腳本，該腳本下載并安裝了Kovter的點擊欺詐木馬。過去攻擊者已經(jīng)使用相同的技術(shù)來分發(fā)Locky勒索軟件。

英特爾安全公司的研究人員也在最近警告稱，PowerShell也可以用于所謂的無文件攻擊。其中為通過終端安全產(chǎn)品的檢測，惡意代碼可以直接在內(nèi)存中啟動，而沒有任何東西被保存到磁盤。

“你或許會認(rèn)為你是受到無文件惡意軟件的保護，因為你的PowerShell執(zhí)行策略被設(shè)置為'限制'，那這樣的腳本不能運行。”英特爾安全研究人員說，“但是，攻擊者可以輕易繞過這些策略。”

用于在最近幾個月分發(fā)惡意軟件的另一種文件類型是SVG(可縮放向量圖形)。雖然很多人能夠正確地將.SVG文件與圖像相關(guān)聯(lián)，但一個鮮為人知的事實是，這些文件實際上可能包含JavaScript。

攻擊者一直在使用SVG文件來執(zhí)行模糊的JavaScript，當(dāng)用戶打開他們認(rèn)為是他們?yōu)g覽器中的圖像時，這些模糊的腳本就會用來運行惡意文件下載，來自SANS互聯(lián)網(wǎng)風(fēng)暴中心的事件響應(yīng)者在近期的一份報告中警告說。

有消息稱Google計劃從2月13日起在Gmail中攔截帶有JavaScript文件的附件，無論是直接附加的還是像ZIP這樣的壓縮文件。而來自電子郵件服務(wù)商的這種限制可能會迫使網(wǎng)絡(luò)攻擊者找到可以隱藏惡意代碼的替代文件格式。

禁止LNK或JS文件附件很容易，因為很少有人通過電子郵件發(fā)送這樣的文件。然而，想要禁止SVG可能有些不切實際，因為它是一種被廣泛使用的圖像格式。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】 

 　　了解更多熱點新聞，請關(guān)注51CTO《科技新聞早報》欄目!