传播金融木马IcedID、Qbot的垃圾邮件攻击再度出现

 邮箱网  0条评论  1017次浏览  2021年06月28日 星期一 10:18

分享到: 更多
邮箱网讯 6月28日消息 卡巴斯基于6月24日,披露2起他们在3月中旬发现的垃圾邮件攻击行动:DotDat与Summer.gif,这些攻击的公用点,都是使用英文书写的邮件,并包含ZIP压缩文件的附件,或者是下载ZIP文件的连接,而且,攻击者发动攻击的目的,就是要传播金融木马。其中,大多数的邮件挟带的是IcedID,但卡巴斯基指出,他们看到部分邮件出现另一种木马QBot(也称QakBot)。

针对攻击出现的频率,卡巴斯基指出,他们在攻击高峰的时期,这些木马程序的活动,每天会侦测到至少一百次。从地区来看,中国和印度都是在3月遭到IcedID与QBot攻击次数最多的国家,而意大利、美国、德国、俄国、法国也都有遭遇至少其中一种木马程序攻击的灾情。

无论是IcedID还是QBot,都不是新的恶意程序家族,但卡巴斯基指出,这两起攻击行动的传播木马程序手法,他们发现有多处与以往不同。

在DotDat与Summer.gif两起攻击行动中,最显著的差异之一就是挟带ZIP文件的方式──前者是包含在邮件之中,后者则是以连接的形式诱使受害者下载。从DotDat的攻击行动中,黑客会在邮件中附上ZIP文件的附件,佯称是一些取消操作或是索赔声明的资料,但实际上,这个ZIP附件文件内置恶意Excel文件,一旦用户信以为真而打开,该Excel文件就会启动宏,并开始下载恶意酬载IcedID或QBot。

这个Excel文件内置的宏,是已被混淆处理的Excel 4.0宏公式,其功能是下载与执行恶意酬载。下载的过程中,该宏会产生URL,并调用Windows API的功能URLDownloadToFile,借由操作系统本身的机制,来执行下载金融木马的工作。

一旦成功下载恶意程序,攻击者也并非直接执行木马程序本身,而是通过EXEC功能与Rundll32来加载。

而另一起攻击行动Summer.gif里,黑客发送的垃圾邮件包含了具有恶意压缩文件的网址连接,这些文件存放于遭黑的网站,文件名称为“documents.zip”、“document-XX.zip”,或者“doc-XX.zip”,其中XX代表2个随机的字符。

与DotDat攻击行动相同的是,这些ZIP文件内置带有宏的Excel文件,一旦用户不小心执行这个Excel文件,就会开始下载其他的作案工具。卡巴斯基指出,这个Excel文件内置的宏,也与DotDat所使用的同样为Excel 4.0宏公式,并且滥用Windows操作系统的URLDownloadToFile功能。但在下载作案工具方式主要的不同之处,则是Summer.gif攻击行动的URL,黑客存放在恶意Excel文件的存储格里面。

从URL的内容看来,下载的文件名称是“summer.gif”,但卡巴斯基指出,这并非是GIF图片文件,而是可执行文件。这个宏触发该文件的方式,则是使用WMI和regsvr32。

关于Summer.gif攻击行动发生的过程,卡巴斯基指出,最高峰是在3月17日,但4月相关攻击则都销声匿迹。而在这两起攻击行动中,黑客所用来传播恶意软件的手法又更进一步,包含假冒取消操作等让受害者会感到压力的内容,诱使用户上当打开钓鱼邮件的附件或是连接,以及用户上当之后,Excel宏公式下载恶意程序的渠道,是经由操作系统的API,本地取材(LoL)而可能得以绕过杀毒软件的拦截。如此刻意回避安全防护机制的做法,近期还有像是通过冒牌客服的BazaCall,攻击者改以客服引导受害者下载恶意软件的方式,而使得钓鱼邮件的恶意特征变得较为难以识别。

标签:垃圾邮件木马邮件攻击

我的评论:

请  后发表评论。