邮箱网讯 6月28日消息 卡巴斯基于6月24日，披露2起他们在3月中旬发现的垃圾邮件攻击行动：DotDat与Summer.gif，这些攻击的公用点，都是使用英文书写的邮件，并包含ZIP压缩文件的附件，或者是下载ZIP文件的连接，而且，攻击者发动攻击的目的，就是要传播金融木马。其中，大多数的邮件挟带的是IcedID，但卡巴斯基指出，他们看到部分邮件出现另一种木马QBot（也称QakBot）。

针对攻击出现的频率，卡巴斯基指出，他们在攻击高峰的时期，这些木马程序的活动，每天会侦测到至少一百次。从地区来看，中国和印度都是在3月遭到IcedID与QBot攻击次数最多的国家，而意大利、美国、德国、俄国、法国也都有遭遇至少其中一种木马程序攻击的灾情。

无论是IcedID还是QBot，都不是新的恶意程序家族，但卡巴斯基指出，这两起攻击行动的传播木马程序手法，他们发现有多处与以往不同。

在DotDat与Summer.gif两起攻击行动中，最显著的差异之一就是挟带ZIP文件的方式──前者是包含在邮件之中，后者则是以连接的形式诱使受害者下载。从DotDat的攻击行动中，黑客会在邮件中附上ZIP文件的附件，佯称是一些取消操作或是索赔声明的资料，但实际上，这个ZIP附件文件内置恶意Excel文件，一旦用户信以为真而打开，该Excel文件就会启动宏，并开始下载恶意酬载IcedID或QBot。

这个Excel文件内置的宏，是已被混淆处理的Excel 4.0宏公式，其功能是下载与执行恶意酬载。下载的过程中，该宏会产生URL，并调用Windows API的功能URLDownloadToFile，借由操作系统本身的机制，来执行下载金融木马的工作。

一旦成功下载恶意程序，攻击者也并非直接执行木马程序本身，而是通过EXEC功能与Rundll32来加载。

而另一起攻击行动Summer.gif里，黑客发送的垃圾邮件包含了具有恶意压缩文件的网址连接，这些文件存放于遭黑的网站，文件名称为“documents.zip”、“document-XX.zip”，或者“doc-XX.zip”，其中XX代表2个随机的字符。

与DotDat攻击行动相同的是，这些ZIP文件内置带有宏的Excel文件，一旦用户不小心执行这个Excel文件，就会开始下载其他的作案工具。卡巴斯基指出，这个Excel文件内置的宏，也与DotDat所使用的同样为Excel 4.0宏公式，并且滥用Windows操作系统的URLDownloadToFile功能。但在下载作案工具方式主要的不同之处，则是Summer.gif攻击行动的URL，黑客存放在恶意Excel文件的存储格里面。

从URL的内容看来，下载的文件名称是“summer.gif”，但卡巴斯基指出，这并非是GIF图片文件，而是可执行文件。这个宏触发该文件的方式，则是使用WMI和regsvr32。

关于Summer.gif攻击行动发生的过程，卡巴斯基指出，最高峰是在3月17日，但4月相关攻击则都销声匿迹。而在这两起攻击行动中，黑客所用来传播恶意软件的手法又更进一步，包含假冒取消操作等让受害者会感到压力的内容，诱使用户上当打开钓鱼邮件的附件或是连接，以及用户上当之后，Excel宏公式下载恶意程序的渠道，是经由操作系统的API，本地取材（LoL）而可能得以绕过杀毒软件的拦截。如此刻意回避安全防护机制的做法，近期还有像是通过冒牌客服的BazaCall，攻击者改以客服引导受害者下载恶意软件的方式，而使得钓鱼邮件的恶意特征变得较为难以识别。