导语:Trend Micro研究人员发现一起滥用SettingContent-ms的垃圾邮件活动,该活动还会释放Necurs传播的FlawedAmmyy RAT。
Trend Micro研究人员检测到一起释放FlawedAmmyy RAT (remote access Trojan)的垃圾邮件活动,其中释放的RAT与Necurs传播的RAT完全相同,RAT会安装最终的payload到僵尸主机。研究人员还发现该攻击活动滥用了SettingContent-ms,这是打开Windows设置面板的XML格式快捷方式文件。攻击者将恶意SettingContent-ms文件嵌入到pdf文档中,并释放前面描述的RAT中。
恶意软件的攻击范围主要集中在马来西亚、印度尼西亚、肯尼亚、罗马尼亚、波兰和奥地利等国。
感染链
图1. 垃圾邮件攻击活动感染链
攻击活动中的垃圾邮件会使用发票(invoice)、重要公告、副本、扫描图片、安全公告等主题词来诱骗接收者。邮件附件中的pdf附件含有嵌入的js代码和downl.SettingContent-ms文件。用户一旦打开pdf附件,JS代码就会触发SettingContent-ms文件。
而downl.SettingContent-ms一旦打开,Windows就会运行<DeepLink>标签中的powershell命令,其中的命令会从hxxp://169[.]239[.]129[.]117/cal下载FlawedAmmyy RAT。FlawedAmmyy RAT变种与Necurs模块在银行和POS相关的用户域名下安装的RAT完全相同。
图2. 垃圾邮件样本中含有js代码和SettingContent-ms的pdf附件
图3. Pdf文件打开后会自动执行的嵌入式js代码
图4. JS代码打开的嵌入的 “downl.SettingContent-ms”文件
图5. 用来打开 “downl.SettingContent-ms”文件的js代码
图6. 打开pdf文件后js代码打开的“downl.SettingContent-ms”文件
图7. “downl.SettingContent-ms“文件的含有PowerShell命令的内容
FlawedAmmyy RAT
Necurs僵尸网络已经发展成为全球最大的垃圾邮件传播组织。它主要通过邮件发送大量的银行恶意软件、勒索软件、攻击约会网站和股票网站的软件,甚至通过网络钓鱼的方式盗取加密货币钱包凭证的软件。最近,Necurs好像对一些有特定特征的僵尸主机有很大兴趣。7月12日,Necurs想僵尸主机推出一个模块——FlawedAmmyy RAT下载器。该模块会检查域名中是否含有关键词:bank, banc, aloha, aldelo, postilion (见图9).Aloha是一个餐馆的POS系统,Aldelo是iPad POS系统,而Postilion是从ATM到POS,从贸易网站到移动端的全通道支付解决方案。如果僵尸的用户域名与Necurs相匹配,下载器就会从hxxp://169[.]239[.]129[.]117/Yjdfel765Hs下载和执行final payload。
图8. 通过cmd命令echo %%USERDOMAIN%%获取僵尸的用户域名
图9. 模块检查用户域名中是否含有关键字