استفاده از پروندههای اسکریپت ویندوز (WSF) ها این عملیات را از نمونههای قبلی متفاوت میکند.
(WSF) ها با wscript.exe ویندوز قابلاجرا هستند و از هر موتور اسکریپت نویسی در یک پرونده به دست میآید. پس از اجرای موفق پرونده، باجافزار cerberروی سامانهی قربانی بارگیری خواهد شد.
طبق پستی در وبلاگ sensecy، باجافزار cerber که بهعنوان یک باجافزار بهعنوان سرویس (RaaS) شناخته میشود توسط یک گروه زیرزمینی روسی توزیعشده است. نیکولاس گرینین، محقق امنیتی ForcePoint در وبلاگش گفت که این باجافزار قبلاً با استفاده از کیتهای بهرهبرداری یا با استفاده از رایانامهها و پروندههای متنی فعالشده با ماکرو، توزیع میشدند؛ اما این اولین بار است که از WSF ها برای چنین هدفی (توزیع باجافزار) استفادهشده است.
مهاجمان، قربانیان را تشویق به بارگیری بدافزار از دو روش میکنند. بارگیری یک پرونده ۲ بار-زیپ شده حاوی یک WSF که به رایانامهای مخرب پیوست شده که یک پیوند لغو اشتراک در پایین رایانامه وجود دارد که به همان پروندهی زیپ پیوند دادهشده است.
علاوه بر این، به علت استفاده نامعمول از یک پروندهای که دو بار زیپ شده و حاوی WSF است، با استفاده از محتوای بهظاهر واقعی واصلی و یک پیوند لغو اشتراک، ممکن است باجافزار بتواند راهحلهای امنیتی کشف کننده باجافزار را دور بزند.
Cerber توانایی رمزنگاری بدون برقراری ارتباط با کارگزارهای C&C را دارد، اما گرینین میگوید که Forcepoint ضعفی در اجرای رمزنگاری توسط این باجافزار پیداکرده است که با استفاده از آن میتوان قفل پروندهها را باز کرد.
گرینین گفت: «اگرچه تعداد قربانیان این باجافزار اندک است، اما در حال حاضر عمدهی آنها در انگلستان هستند و با گذر زمان احتمالاً تعداد قربانیان نیز افزایش مییابد».
