垃圾電子郵件活動通過BEBLOH和URSNIF惡意軟體感染日本用戶

「用指尖改變世界」

趨勢科技在最近發現濫用Web查詢文件IQY的惡意活動有所增加，類似於今年6月份利用Necurs殭屍網路分發FlawedAmmyy RAT的垃圾電子郵件活動。網路犯罪分子似乎正是想要利用IQY文件結構簡單的特點，以逃避基於結構的安全檢測。

由趨勢科技最新觀察到的濫用IQY文件的垃圾電子郵件來自Cutwail殭屍網路。活動以日本用戶為目標，交付了BEBLOH（由趨勢科技檢測為TSPY_BEBLOH.YMNPV）和URSNIF（由趨勢科技檢測為TSPY_URSNIF.TIBAIDO）惡意軟體。垃圾電子郵件試圖利用傳統的社會工程來誘騙用戶點擊附件，比如類似於「payment」、「photos sent」、「photos attached」和「please confirm」這樣的主題。該活動於今年8月6日被檢測到，並在接下來的幾天里共計分發了大約50萬封垃圾電子郵件。到了8月9日，垃圾電子郵件的分發量開始急劇減少。

圖1. 在2018年8月6日至10日檢測到的垃圾郵件數量

感染鏈

圖2.垃圾電子郵件活動的感染鏈

根據趨勢科技對8月6日檢測到的第一波垃圾電子郵件的分析，如果用戶打開了附件中的IQY文件，那麼它接下來將查詢包含在其代碼中URL。這個Web查詢文件會將數據從目標URL提取到Excel文件中，其中包含一個腳本，而該腳本可以濫用Excel的動態數據交換（DDE）功能。如此一來，一個PowerShell進程將能夠執行，該進程會檢查受感染計算機的IP地址是否來自日本。如果IP地址來自日本，那麼BEBLOH或URSNIF將會作為最終payload被下載；但如果IP地址來自其他國家，則不會下載最終的payload。

圖3.從8月6日開始分發的第一波垃圾電子郵件的一個示例

在8月8日檢測到的第二波垃圾電子郵件中，用於下載最終payload的PowerShell腳本被進行了混淆。這是一種常見的方法，用於使安全解決方案對腳本的分析更加困難。另外，趨勢科技還觀察到URSNIF已經成為了唯一被下載的payload。除了這些變化之外，該活動的感染鏈仍然類似於第一波垃圾電子郵件。

圖4.從8月8日開始分發的第二波垃圾電子郵件的一個示例

圖5.未混淆的PowerShell腳本的代碼片段

圖6.混淆後的PowerShell腳本的代碼片段

BEBLOH和URSNIF

在2016年，BEBLOH和URSNIF 在日本非常活躍。BEBLOH是一種銀行木馬，旨在從受害者的銀行賬戶中竊取資金。相對應的，URSNIF則是一種因竊取數據而為公眾所知的惡意軟體，其行為包括掛鉤可執行文件以進行瀏覽器監控，以及使用簡單的檢查來逃避沙箱檢測等。

趨勢科技對TSPY_BEBLOH.YMNPV（此活動中的BEBLOH變種）的分析發現，它通過添加註冊表項來修改受感染的系統，使其能夠在每次系統啟動時自動執行，並能夠收集以下數據：

Explorer文件信息

鍵盤布局

設備名稱

網路配置（IP地址、套接字、埠）

操作系統信息（版本、產品ID、名稱、安裝日期）

卷序列號

TSPY_URSNIF.TIBAIDO（此活動中的URSNIF變種）除了系統修改之外，還能夠收集以下數據：

獲取屏幕截圖

剪貼板的日誌

計算機名

Cookie

數字證書

電子郵箱憑證

已安裝的設備驅動程序

已安裝的程序

IP地址

鍵盤記錄

正在運行的進程和服務

系統信息

URSNIF的這個變種能夠將竊取的信息保存在一個文件中然後上傳、監視互聯網瀏覽活動、掛鉤目標進程的API，以及禁用Mozilla Firefox中的協議。如果在虛擬機或沙箱下運行，它還會終止自身進程。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！