5個最危險的附件類型

Posted on by blogadmin

研究人員追踪了2019年使用惡意附件的五個大垃圾郵件活動,

從傳播GandcrabZIP附件到分發TrickbotDOC文件.

F-Secure的研究人員追踪到目前為止, 2019年最常使用與垃圾郵件相關的頂級惡意附件和廣告。在大型垃圾郵件活動中比任何其他類型的附件常用的是

ZIPPDFMS辦公文件(如DOCXLSM文件附件)

 

此外,研究人員注意到,光碟映像文件(存儲整個磁碟的內容和結構的ISOIMG文件,如DVD或藍光)越來越多地用於傳播惡意軟體。研究人員稱,在越來越多的小型廣告系列中發現了AgentTesla惡意軟體和NanoCore遠端木馬程式。

1.png

F-Secure的研究人員說:“在2月和3月,我們看到了大量垃圾郵件活動,使用ZIP文件發送GandCrab勒索軟體,用DOCXLSM文件分發Trickbot “在同一時期,我們看到了針對美國運通客戶的同樣大型廣告系列,以及使用PDF文件附件的‘Winner騙局

 

ZIP文件傳播GandCrab

研究人員表示,在2月和3月,有大量的垃圾郵件活動散播著GandCrab勒索軟體。這些廣告系列使用的是ZIP文件,旨在向某人發送照片。

 

但是,實際上ZIP文件包含一個模糊的JavaScript下載程式,它執行下載並執行GandCrab勒索軟體執行製文件的PowerShell script。如果有效成功下載並執行,它則會加密受害者的機器並顯示勒索軟體。

 

2.png

DOC / XLSM文件提供Trickbot

研究人員還注意到,3月份以稅收為主題的垃圾郵件活動大幅增加,這些活動利用DOCXLSM文件來提供Trickbot模組化的銀行木馬。這封電子郵件宣稱該活動的目的是提供稅收賬單記錄,其中包含Office doc附件,其中包含使用bitsadmin工具下載和執行有效的惡意巨集。BitsAdmin是一個合法的命令執行工具,可用於下載或上載作業並監視進度。

 

研究人員表示,一旦下載並執行,Trickbot樣本就開始執行,並在受害者的機器上創建模組,竊取“盡可能多的數據”包括銀行憑證等。

 

TrickBot金融惡意軟體最初是在2016年發現的,最近幾個廣告系列展示了其發展背後的快節奏演變。研究人員已經注意到惡意軟體的新代碼注入技術,更新的信息竊取模組和自定義的方法。

 

美國運通網路釣魚中使用的PDF文件

3月份另一個受歡迎的垃圾郵件活動, 利用PDF文件對準美國運通客戶的網路釣魚攻擊。

 

4.png 

 

研究人員說:“利用PDF文件中,最高峰是3月份針對美國運通的網絡釣魚活動。”

 

該電子郵件聲稱來自美國運通,稱受害者的帳戶已被標記,並且標有“正在審核中”的PDF文件。當該PDF文件打開時,它會顯示一個鏈接,引導用戶並假裝“安全消息”來自美國運通客戶安全團隊。實際上,該鏈接會將受害者帶到一個帶有縮短URL的惡意登陸頁面進一步騙欺受害者並詢問他們的銀行憑據。

 

用於“Winner騙局”的PDF文件

研究人員還發現了一個“贏家”騙局,他們說這是使用通過電子郵件傳播的PDF文件附件的第二高的廣告系列。

 

 

5.png

聲稱由Google發送的附件,告訴受害者他們贏得了由Google基金會和軟件產品促進基金會組織的140萬美元的電子郵件在線抽獎活動。

 

該表格隨後要求提供個人詳細信息,並且可以通過受害者電子郵件將其付款驗證信息發送給Google首席執行官Sunday Pichai,電子郵件地址為“sundarpicha@gmail.com”。

 

“這個騙局要求受害者提供個人詳細信息,如全名,地址,國家/國籍,電話/手機號碼,職業,年齡/性別和私人電子郵件地址,”研究人員說。

 

電子郵件末尾的消息告訴受害者:“出於安全原因,建議您將此通知保密,作為我們預防措施的一部分,以避免雙重索賠和無理濫用此程式。”

 

ISOIMG傳送AgentTesla

有趣的是,研究人員表示他們已經注意到自20187月以來使用光碟映像文件(ISOIMG文件)傳播惡意軟體的攻擊者數量激增, ISO映像文件是CD數據和佈局的快照; 而各種光碟應用程式創建的IMG是光碟映像文件。

 

最值得注意的是,研究人員已經看到越來越多的活動儘管規模較小使用這種技術來傳送AgentTesla信息竊取惡意軟體和NanoCore RAT

 

“有趣的是,我們還看到最近的垃圾郵件活動提供了兩種類型的附件:惡意Office DocISO映像文件都安裝了AgentTesla信息輸出器,”他們說。

 

在這些活動中,一個有意義的文檔會執行一個巨集來下載和執行; ISO文件中包含惡意執行文件。

 

“無論受害者選擇打開兩種附件類型中的哪一種,都要安裝AgentTesla – 一種能夠從常用的已安裝軟體(如瀏覽器,電子郵件客戶端和ftp客戶端)收集受害者系統信息和憑據的信息輸出器”研究人員。

 

垃圾郵件活動不斷發展

垃圾郵件活動繼續採用新的策略,使其更難以發現並且使用新類型的附件(例如上述ISO映像文件)只會使攻擊者更容易欺騙受害者。

 

6.png

事實上,根據最近的研究,垃圾郵件是網路犯罪分子在2018年整體傳播惡意軟

體的最常用方法,佔全年每10次感染企業中的9次。

 

大約69%的垃圾郵件活動試圖欺騙用戶訪問惡意URL以下載惡意軟體文件或提交另一個導致感染的在線操作。

 

其餘31%的廣告系列使用了惡意附件。

 

“惡意軟體作者傾向於在他們的活動中更喜歡特定類型的文件附件來分發惡意內容,”F-Secure的研究人員強調說。

 

I