攻擊者正利用「Black Lives Matter」政治口號傳播惡意軟體
安全機構?abuse.ch最近發現了一個惡意軟體傳播活動,該活動正在利用「Black Lives Matter」政治口號傳播殭屍惡意軟體。
黑客故意讓電子郵件的標題簡短客觀,從而有意迴避社會或政治立場,而是邀請收件人對此問題進行匿名評論,通過這種吸引用戶的主題,擴大攻擊的範圍。
Sophos旗下的SophosLabs安全研究機構發現的樣本都很有意思,每次都從一個相似的文本字元串列表中隨機選擇主題、正文、附件描述和文件名,如下所示:
Example subject lines:
Give YOUR Feedback anonymous about "Black Lives Matter"
Leave a review nameless about "Black Lives Matter"
Speak out confidentially about "Whose Lives Matter"
Tell your government your opinion nameless about "Whose Lives Matter"
Vote anonymous about "Black Lives Matter"
Example email first lines:
Give your opinion anon about "Whose Lives Matter"
Let us know your opinion nameless about "Whose Lives Matter"
Speak out confidentially about "Whose Lives Matter"
Tell your government your opinion anonymous about "Black Lives Matter"
Vote anonymous about "Black Lives Matter"
Example attachment descriptions:
Assertion included
Claim in attached file
Contention included
Form in attached file
Statement included
Example attachment filenames:
e-vote_form_1324.doc
e-vote_form_32411.doc
e-vote_form_41429.doc
e-vote_form_83110.doc
e-vote_form_9017.doc
下面是一個電子郵件示例,內容隨機,顯示了一般的外觀:
這些黑客沒有對用戶施加任何壓力,他們沒有利用內疚或恐懼等情緒,他們甚至不要求你以自己的名義參與。
但即便這樣,用戶一旦打開該鏈接也會中招!很不幸,我們也中招了,所以必須承認,這種方法很容易讓人上當。
請記住,Word文檔可以包含通常稱為宏的內容,這是用Visual Basic for Applications programming language(簡稱VBA)編寫的嵌入式程序代碼。
宏的問題在於,這個術語聽起來安全無害,這個詞讓人想起了真正簡單的擊鍵記錄器的日子,你可以用它來自動化文字處理器或電子表格中的簡單任務。
但如今的VBA與C、c 、Delphi、Perl、Python或任何與本地安裝和運行的成熟、獨立應用程序相關的編程語言一樣強大,也一樣危險。
VBA需要運行一個Office應用程序(通常是Word,Excel或PowerPoint)才能運行,但是一旦你同意讓VBA代碼從Office文件內部運行,它就可以完全訪問你的計算機,就像VBA程序在Office之外運行一樣。
換句話說,Word文件中的VBA不同於瀏覽器中的JavaScript,沒有沙盒或防護體系來限制它可能造成的危害。
VBA程序可以執行以下所有操作:
·從互聯網上將任意數據下載到內存中;
·使用多種加密演算法解密或加密數據;
·在硬碟上創建新文件,或讀入已存儲在硬碟上的數據;
·修改或刪除硬碟上或整個網路上的現有文件;
·直接訪問內存,並將惡意代碼注入Office或其他程序,而無需先將該代碼保存到磁碟;
·監視擊鍵,截屏,瀏覽網路流量等等;
這就是為什麼微軟在設置Office時默認關閉了宏,這樣你就不會因為打開一個受感染的Office文件而意外運行嵌入的VBA惡意軟體,因為惡意宏會造成很多危害。
事實上,我們經常看到公司內部使用VBA宏作為通過內部可信任的文檔自動執行辦公室工作流的一種方式。這樣,收到的每一份含有宏的電子郵件文件都有可能含有惡意軟體。
如果打開這個怎麼辦?
這種攻擊背後的黑客也使用了文檔內部的低壓策略,這給了你信服的理由,讓嵌入式宏運行。
當我們打開abuse.ch報告的樣本時,我們看到了以下內容:
Office有新的更新,它們將在後台下載,不會中斷你目前的運行。
這聽起來像是你應該注意而不是忽略的建議,黑客甚至有禮貌地提醒你:如果你的互聯網連接受到限制,請小心下載這些資料可能會收取費用。
但這並不是你需要注意的全部,真正的危險來自結尾那些聽起來無害的說明:請按「啟用編輯」,然後在彈出窗口中「啟用內容」。
如你所見,黃色彈出窗口試圖阻止你執行黑客所說的話,警告你出於安全原因禁用宏。
不過,用於激活該文件中惡意宏的按鈕標記為「啟用內容」,我們一直認為它聽起來比實際情況更加安全,好像你現在看到的只是一個預覽。
所以我們的建議是,當你看到「啟用內容」這個詞時,在心裡把它們理解成:點擊這個按鈕,將運行一個惡意軟體的嵌入式程序。
如果你點擊進入會發生什麼情況
如果你確實運行了此惡意軟體文檔中的宏,你首先看到的是一個類似windows的錯誤信息,包括一個看起來很熟悉的八位代碼:
該錯誤是偽造的(你會在網上搜索到該錯誤),它被稱為「誘餌」,這是解釋為什麼承諾的更新無法奏效的合理原因。
實際上,這只是惡意宏中的VBA代碼的簡單一行-MsgBox命令彈出偽造的錯誤消息,此後宏代碼開始工作並解密並運行嵌入式程序(稱為shellcode),該程序使用一種偽裝成奇怪字母的十六進位表示法:
在看到的一長串已編碼的二進位數據中,字母a至p用於表示0到f的十六進位數字,而負號則毫無意義。
這個惡意文件被稱為下載器,當我們允許它運行時,它就會獲取並安裝一種名為「Trickbot」的殭屍惡意軟體。「TrickBot」銀行木馬最早出現於2016年底,主要通過掛馬網頁、釣魚文檔傳播,進入受害者計算機後竊取計算機中郵箱密碼、瀏覽器中存儲的網站憑證等敏感數據,注入瀏覽器竊取網銀帳戶密碼,盜取受害者資產。過去的「TrickBot」銀行木馬一般通過帶有惡意宏的Office文檔啟動PowerShell應用程序下載載荷到本地執行,這麼做會導致載荷文件落地,一旦載荷文件被殺毒軟體查殺攻擊即宣告失敗。經過幾年的發展,TrickBot銀行木馬已經變得高度模塊化,其可以由攻擊者根據目標環境進行配置。
但是,正如名稱中告訴你的「機器人」部分一樣,Trickbot的基本目的是充當機器人代理,它可以執行黑客發出的各種命令,包括告訴機器人下載並安裝一些通用命令的通用命令。其他種類的惡意軟體也經常使用勒索軟體。今年3月,IBM X-Force研究人員發現一款安卓惡意軟體使用TrickBot木馬來感染用戶。該app被命名為TrickMo,可以繞過銀行交易認證所用的雙因子認證和強認證。
這意味著,基於文檔的下載程序的問題在於「他們獲取了什麼?」這個問題無法回答,因為提供給下載的文件可以由黑客隨意更改。
緩解措施
1.不要打開你郵件中沒有必要下載的附件,唯一正確的做法就是直接刪掉和置之不理。
2.永遠不要因為文檔告訴你要關閉安全特性而把殺毒軟體關閉,微軟選擇「禁用內容」作為默認選項來保護你不受惡意文檔的傷害,特別是那些告訴你關閉安全特性的不明文檔。
3.尋找具有行為攔截和Web過濾以及純文件掃描功能的防病毒軟體。像這樣的惡意軟體使用的多步驟方法意味著,黑客們在每個階段都只需要付出更少的努力,DOC文件本身不需要內置的完整和最終惡意軟體。但這意味著你可以阻止任何階段的攻擊,而攻擊者必須在所有階段都攻擊成功。如果你有多層防禦,你就佔了上風。
本文翻譯自:https://nakedsecurity.sophos.com/2020/06/11/crooks-hijack-black-lives-matter-to-spread-zombie-malware/
