导语:随着网络安全防御能力的不断提高,网络犯罪分子也已经学会如何让恶意软件变得更有创造性。趋势科技的研究人员最近新发现了一波垃圾邮件活动,攻击者将恶意附件隐藏在了一些老旧格式但以前很少使用的文件类型中。
随着网络安全防御能力的不断提高,网络犯罪分子也已经学会如何让恶意软件变得更有创造性。趋势科技的研究人员最近新发现了一波垃圾邮件活动,攻击者将恶意附件隐藏在了一些老旧格式但以前很少使用的文件类型中。垃圾邮件目前仍然是网络犯罪的最爱的攻击方式之一,这种用户攻击的垃圾邮件占全球所有电子邮件流量的48%以上。
在2017年的年度综合报告中,研究人员发现与恶意软件相关的垃圾邮件活动中使用的最常见文件类型是.XLS,.PDF,.JS,.VBS,.DOCX,.DOC,.WSF,.XLSX,.EXE和.HTML。但网络犯罪分子正在扩大他们滥用的文件类型。以下详细介绍了网络犯罪分子如何以全新的方式使用旧文件类型,以试图逃避垃圾邮件过滤器。
.ARJ和.Z文件
ARJ是“Robert Jung Archived by Robert Jung”的缩写,是一个与. zip一样诞生于90年代的档案压缩工具,但它的受欢迎程度不及. zip。尽管2014年,就有攻击者使用.ARJ文件扩展名来通过垃圾邮件发送恶意文件,但研究人员最近看到使用.ARJ文件向用户传送恶意文件的数量却在激增。最近,研究人员检测到了近7000个在ARJ中压缩的恶意文件。
具有恶意.ARJ文件附件的垃圾邮件活动的感染过程
带有.ARJ文件附件的垃圾邮件的屏幕截图
研究人员最近发现了一个传播恶意. arj文件的小型垃圾邮件活动。其中一些垃圾邮件的主题与报表或采购订单相关,例如“和对你的结算余额表”,“New Order-Snam Thai Son Group // PO // Ref 456789”和“主题:渣打银行的建议”等等。
将恶意.ARJ文件下载到设备后,它可能会删除并执行一个普通的可执行文件或一个可执行屏幕保护程序文件。
.Z文件内容
早在2014年,一旦成功解压缩到系统中,带有.ARJ文件附件的垃圾邮件活动就会将受感染的计算机作为可用于垃圾邮件或拒绝服务攻击的僵尸网络的一部分。今年,有效载荷是一种间谍软件(由趋势科技检测为TROJANSPY.WIN32.GOLROTED.THAOOEAH),可窃取系统信息以及来自浏览器的用户名和密码,此恶意软件还会尝试从多个电子邮件服务平台窃取存储的电子邮件凭证。
网络犯罪分子也恶意使用.Z文件, .Z文件扩展名是压缩的基于Unix的设备文件,尽管它的用户受欢迎程度方面已经被GNU Gzip压缩所取代。因为它看起来有一个双重文件扩展名(例如.PDF.z),用户可能会被欺骗,认为他们正在打开的是PDF而不是.Z文件。
伪造的采购订单的屏幕截图,其中.Z文件扩展名作为附件
与.ARJ文件一样,存档文件可能包含普通的.exe文件和可执行的屏幕保护程序文件。
研究人员看到了一个带有.Z文件附件的垃圾邮件的攻击活动,该附件带有后门载荷(趋势科技检测为BACKDOOR.WIN32.REMCOS.TICOGBZ),可以打开、重命名、上传和删除受影响的计算机中的文件,记录键盘输入,甚至使用计算机的摄像头和麦克风捕捉图像和声音。今年早些时候,安全研究人员还发现了一个垃圾邮件活动,该活动通过.Z文件附件向潜在受害者发送了DarkComet RAT。
.PDF文件
使用.PDF文件来传播恶意软件并不是什么新鲜事,事实上,研究人员看到了一个恶意垃圾邮件活动,该活动使用.PDF文件传播下载器和后门,今年年初时,目标针对的是金融机构。随着网络犯罪活动的不断创新,网络犯罪分子似乎渴望在他们的代码中使用已知的成功技术。最近,研究人员看到网络犯罪分子在.PDF附件中嵌入.IQY文件和.PUB文件。
下载后,将使用JavaScript代码执行恶意.IQY和.PUB文件。
在JavaScript中执行的.IQY和.PUB文件扩展名的屏幕截图
这段JavaScript代码使用exportDataObject函数导出并启动恶意软件,在本文的案例中,由“nLaunch”指定,而导出的对象或文件由“cName”指定。“nLaunch = 2”函数表示恶意文件将在启动之前保存在%TEMP%中。
使用嵌入了.PUB的.PDF文件的恶意活动的感染过程
.IQY文件
Microsoft Excel使用网络查询文件(IQY)将数据从互联网提取到电子表格中。为此,将URL嵌入到IQY文件中,此文件便于从指定的网页中提取数据。而这一特性却被Necurs僵尸网利用,2018 年5月25日开始, Necurs僵尸网络首次使用武器化的IQY文件附件。在本文的样本中,.IQY文件被嵌入在.PDF文件中。
在2018年8月15日,研究人员发现了一个垃圾邮件活动,其中传播了一个带有.IQY文件的.PDF。趋势科技仅在印度就检测到超过58000次的点击量,而其他国家包括越南、美国、中国和德国也都出现了多次点击。
恶意垃圾邮件活动的感染链,通过滥用.PDF文件中嵌入的.IQY文件来传播Marap木马
附加到垃圾邮件活动中使用的.PDF的.IQY文件的屏幕截图
研究人员最近还看到.IQY文件在日本被滥用,以用来传播BEBLOH或URSNIF恶意软件。
.pub文件
如今的垃圾邮件攻击活动已不会在典型文档中使用恶意宏文件,因此网络犯罪分子通过使用很少使用的文档来传播恶意软件继续提高攻击效率。 8月底发现的恶意垃圾邮件攻击就使用了一个特殊的Microsoft办公应用程序MS Publisher。就像嵌入的.IQY文件一样,打开MS Publisher文件会导致其中的恶意宏文件运行。
显示内部带有恶意宏的.PUB文件的代码的屏幕截图
在2018年8月21日,研究人员收到了有关垃圾邮件活动的SPN反馈,该活动传播了嵌入了恶意.PUB文件的.PDF附件。研究人员检测到攻击主要发生在印度,占检测数量的73%以上,其次是英国,占11%。在越南、中国、土耳其和美国也发现了一些来自此活动的垃圾邮件。
SettingContents-MS文件
随着Windows 10的发布,名为SettingContent-ms的新文件类型开始出现,该文件通常包含Windows函数的设置内容,主要用于创建旧Windows控制面板的快捷方式。网络犯罪分子利用此功能并将其嵌入Microsoft办公应用程序并不需要太长时间。7月初的垃圾邮件活动表明,网络犯罪分子将FlawedAmmyy远程访问木马(RAT)传播到嵌入PDF文档的恶意SettingContent-ms文件中。
使用嵌入了JavaScript代码和SettingContent-ms文件的恶意.PDF传播FlawedAmmyy RAT的恶意垃圾邮件活动的感染过程
最近,垃圾邮件活动和概念验证研究表明,如果使用恶意文件替换DeepLink标记下的命令行,可以滥用SettingContent-ms文件。
攻击指标(SHA256)
.Z文件附件
a22ede52f14be480dd478fa0ec955b807e4b91a14fbe1b5d46c07bbb5cacccbb
.ARJ文件附件
d5f4d2def36c54cd404742fe40583fa5805e55aa687063f9cd92bfd7378f7dc4
.PDF与.PUB文件附件
.PDF – Dd45ab22c16b843a8755f859103f4509fcbbd2da5d837e622cb37a16e53c8cc3
.PUB – 38066350f0ad3edfa2ccf534f51ad528b8bac6e8f1a2a5450556a33fdf345109
有效载荷(BKDR_FLAWEDAMMYY.EB)- eeae4955354e07e0df2c5ca3bdc830f6758c11ba185511ef4b3d82a9c1253e63
.PDF与.IQY文件附件
.PDF – B2b2ec71154a551b1af2cfc1611a6ed59821917c0c930ea6f737c586ecdfa147
.IQY – 3fd386172636a5c5b471d89c23e4d24cc36d42c90975245ab1a6525e7895fc57
有效载荷 – 996053ee305ee730f4095d9ee71447dd72815083c8cdf98e048f41185cf2b1d1