Theo những gì mà các nhà nghiên cứu tại PhishMe mới phát hiện, nhóm hacker đứng sau mã độc Locky là những người rất hâm mộ series hit của HBO, tới nỗi họ còn đưa vào script tên của các nhân vật trong phim và nhiều thông tin khác.
Các nhà nghiên cứu tìm thấy những thông tin này trên script Visual Basic, một phần của tập tin ZIP hoặc RAR được đính kèm trong email spam. Khi người dùng mở mail, tải tập tin về và chạy kịch bản này, tập tin sẽ tải và cài đặt Locky.
Những cái tên có liên quan tới Game of Thrones có thể tìm thấy trong kịch bản VB như Aria, SansaStark, RobertBaration, JohnSnow và HoldTheDoor (hay Hodor). Từ Throne cũng được dùng 70 lần.
Có thể tìm thấy nhiều cái tên liên quan tới Game of Throne trong kịch bản của mã độc
Môi trường runtime của script này không quan trọng tên biến thế nào. Tên biến muốn đặt sao cũng được, dù hoàn toàn là sự kết hợp ngẫu nhiên của chữ và số”, nhà nghiên cứu Victor Cornell tại PhishMe nói. “Những người đứng sau mã độc này chọn chủ đề riêng cho các biến của mình, từ đó tiết lộ sở thích”.
Theo một nhà nghiên cứu độc lập tại MalwareHunter, kịch bản này đã được khai thác vài tuần. Dưới đây là thông tin IOC.
Tên tập tin: SCNMSG00001018.vbs
MD5: 170ae05fb405e9f2b2a4474739b75a66
SHA256: fc89d30e245a8b166af2e17b2d7b6835ff15999d746b91214edcfdc7b9c5db35