散布金融木馬IcedID、Qbot的垃圾郵件攻擊再度出現，在中國、印度等地造成災情

卡巴斯基於6月24日，揭露2起他們在3月中旬發現的垃圾郵件攻擊行動：DotDat與Summer.gif，這些攻擊的共通點，都是使用英文書寫的郵件，並包含ZIP壓縮檔案的附件，或者是下載ZIP檔案的連結，而且，攻擊者發動攻擊的目的，就是要散布金融木馬。其中，大多數的郵件挾帶的是IcedID，但卡巴斯基指出，他們看到部分郵件出現另一種木馬QBot（亦稱QakBot）。

針對攻擊出現的頻率，卡巴斯基指出，他們在攻擊高峰的時期，這些木馬程式的活動，每天會偵測到至少一百次。從地區來看，中國和印度都是在3月遭到IcedID與QBot攻擊次數最多的國家，而義大利、美國、德國、俄國、法國也都有遭遇至少其中一種木馬程式攻擊的災情。

無論是IcedID還是QBot，都不是新的惡意程式家族，但卡巴斯基指出，這兩起攻擊行動的散布木馬程式手法，他們發現有多處與過往不同。

在DotDat與Summer.gif兩起攻擊行動中，最顯著的差異之一就是挾帶ZIP檔案的方式──前者是包含在郵件之中，後者則是以連結的型式誘使受害者下載。從DotDat的攻擊行動中，駭客會在郵件中附上ZIP檔案的附件，佯稱是一些取消操作或是索賠聲明的資料，但實際上，這個ZIP附件檔案內含惡意Excel檔案，一旦使用者信以為真而開啟，該Excel檔案就會啟動巨集，並開始下載惡意酬載IcedID或QBot。

這個Excel檔案內含的巨集，是已被混淆處理的Excel 4.0巨集公式，其功能是下載與執行惡意酬載。下載的過程中，該巨集會產生URL，並呼叫Windows API的功能URLDownloadToFile，藉由作業系統本身的機制，來執行下載金融木馬的工作。

一旦成功下載惡意程式，攻擊者也並非直接執行木馬程式本身，而是透過EXEC功能與Rundll32來載入。

而另一起攻擊行動Summer.gif裡，駭客寄送的垃圾郵件包含了具有惡意壓縮檔案的網址連結，這些檔案存放於遭駭的網站，檔案名稱為「documents.zip」、「document-XX.zip」，或者「doc-XX.zip」，其中XX代表2個隨機的字元。

與DotDat攻擊行動相同的是，這些ZIP檔案內含帶有巨集的Excel檔案，一旦使用者不小心執行這個Excel檔案，就會開始下載其他的作案工具。卡巴斯基指出，這個Excel檔案內含的巨集，也與DotDat所使用的同樣為Excel 4.0巨集公式，並且濫用Windows作業系統的URLDownloadToFile功能。但在下載作案工具方式主要的不同之處，則是Summer.gif攻擊行動的URL，駭客存放在惡意Excel檔案的儲存格裡面。

從URL的內容看來，下載的檔案名稱是「summer.gif」，但卡巴斯基指出，這並非是GIF圖檔，而是可執行檔案。這個巨集觸發該檔案的方式，則是使用WMI和regsvr32。

關於Summer.gif攻擊行動發生的過程，卡巴斯基指出，最高峰是在3月17日，但4月相關攻擊則都消聲匿跡。而在這兩起攻擊行動中，駭客所用來散布惡意軟體的手法又更進一步，包含假冒取消操作等讓受害者會感到壓力的內容，誘使用戶上當開啟釣魚郵件的附件或是連結，以及使用者上當之後，Excel巨集公式下載惡意程式的管道，是經由作業系統的API，就地取材（LoL）而可能得以繞過防毒軟體的攔截。如此刻意迴避資安防護機制的做法，近期還有像是透過冒牌客服的BazaCall，攻擊者改以客服引導受害者下載惡意軟體的方式，而使得釣魚郵件的惡意特徵變得較為難以識別。