垃圾電子郵件活動通過BEBLOH和URSNIF惡意軟體感染日本用戶
「用指尖改變世界」
趨勢科技在最近發現濫用Web查詢文件IQY的惡意活動有所增加,類似於今年6月份利用Necurs殭屍網路分發FlawedAmmyy RAT的垃圾電子郵件活動。網路犯罪分子似乎正是想要利用IQY文件結構簡單的特點,以逃避基於結構的安全檢測。
由趨勢科技最新觀察到的濫用IQY文件的垃圾電子郵件來自Cutwail殭屍網路。活動以日本用戶為目標,交付了BEBLOH(由趨勢科技檢測為TSPY_BEBLOH.YMNPV)和URSNIF(由趨勢科技檢測為TSPY_URSNIF.TIBAIDO)惡意軟體。垃圾電子郵件試圖利用傳統的社會工程來誘騙用戶點擊附件,比如類似於「payment」、「photos sent」、「photos attached」和「please confirm」這樣的主題。該活動於今年8月6日被檢測到,並在接下來的幾天里共計分發了大約50萬封垃圾電子郵件。到了8月9日,垃圾電子郵件的分發量開始急劇減少。
圖1. 在2018年8月6日至10日檢測到的垃圾郵件數量
感染鏈
圖2.垃圾電子郵件活動的感染鏈
根據趨勢科技對8月6日檢測到的第一波垃圾電子郵件的分析,如果用戶打開了附件中的IQY文件,那麼它接下來將查詢包含在其代碼中URL。這個Web查詢文件會將數據從目標URL提取到Excel文件中,其中包含一個腳本,而該腳本可以濫用Excel的動態數據交換(DDE)功能。如此一來,一個PowerShell進程將能夠執行,該進程會檢查受感染計算機的IP地址是否來自日本。如果IP地址來自日本,那麼BEBLOH或URSNIF將會作為最終payload被下載;但如果IP地址來自其他國家,則不會下載最終的payload。
圖3.從8月6日開始分發的第一波垃圾電子郵件的一個示例
在8月8日檢測到的第二波垃圾電子郵件中,用於下載最終payload的PowerShell腳本被進行了混淆。這是一種常見的方法,用於使安全解決方案對腳本的分析更加困難。另外,趨勢科技還觀察到URSNIF已經成為了唯一被下載的payload。除了這些變化之外,該活動的感染鏈仍然類似於第一波垃圾電子郵件。
圖4.從8月8日開始分發的第二波垃圾電子郵件的一個示例
圖5.未混淆的PowerShell腳本的代碼片段
圖6.混淆後的PowerShell腳本的代碼片段
BEBLOH和URSNIF
在2016年,BEBLOH和URSNIF 在日本非常活躍。BEBLOH是一種銀行木馬,旨在從受害者的銀行賬戶中竊取資金。相對應的,URSNIF則是一種因竊取數據而為公眾所知的惡意軟體,其行為包括掛鉤可執行文件以進行瀏覽器監控,以及使用簡單的檢查來逃避沙箱檢測等。
趨勢科技對TSPY_BEBLOH.YMNPV(此活動中的BEBLOH變種)的分析發現,它通過添加註冊表項來修改受感染的系統,使其能夠在每次系統啟動時自動執行,並能夠收集以下數據:
Explorer文件信息
鍵盤布局
設備名稱
網路配置(IP地址、套接字、埠)
操作系統信息(版本、產品ID、名稱、安裝日期)
卷序列號
TSPY_URSNIF.TIBAIDO(此活動中的URSNIF變種)除了系統修改之外,還能夠收集以下數據:
獲取屏幕截圖
剪貼板的日誌
計算機名
Cookie
數字證書
電子郵箱憑證
已安裝的設備驅動程序
已安裝的程序
IP地址
鍵盤記錄
正在運行的進程和服務
系統信息
URSNIF的這個變種能夠將竊取的信息保存在一個文件中然後上傳、監視互聯網瀏覽活動、掛鉤目標進程的API,以及禁用Mozilla Firefox中的協議。如果在虛擬機或沙箱下運行,它還會終止自身進程。
本文由黑客視界綜合網路整理,圖片源自網路;轉載請註明「轉自黑客視界」,並附上鏈接。
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※英特爾為新幽靈變種發現者支付100,000美元獎金
※概念驗證攻擊「化身」海上迷霧誤導船舶
TAG:黑客視界 |