圖片來源: 

卡巴斯基

卡巴斯基於6月24日,揭露2起他們在3月中旬發現的垃圾郵件攻擊行動:DotDat與Summer.gif,這些攻擊的共通點,都是使用英文書寫的郵件,並包含ZIP壓縮檔案的附件,或者是下載ZIP檔案的連結,而且,攻擊者發動攻擊的目的,就是要散布金融木馬。其中,大多數的郵件挾帶的是IcedID,但卡巴斯基指出,他們看到部分郵件出現另一種木馬QBot(亦稱QakBot)。

針對攻擊出現的頻率,卡巴斯基指出,他們在攻擊高峰的時期,這些木馬程式的活動,每天會偵測到至少一百次。從地區來看,中國和印度都是在3月遭到IcedID與QBot攻擊次數最多的國家,而義大利、美國、德國、俄國、法國也都有遭遇至少其中一種木馬程式攻擊的災情。

無論是IcedID還是QBot,都不是新的惡意程式家族,但卡巴斯基指出,這兩起攻擊行動的散布木馬程式手法,他們發現有多處與過往不同。

在DotDat與Summer.gif兩起攻擊行動中,最顯著的差異之一就是挾帶ZIP檔案的方式──前者是包含在郵件之中,後者則是以連結的型式誘使受害者下載。從DotDat的攻擊行動中,駭客會在郵件中附上ZIP檔案的附件,佯稱是一些取消操作或是索賠聲明的資料,但實際上,這個ZIP附件檔案內含惡意Excel檔案,一旦使用者信以為真而開啟,該Excel檔案就會啟動巨集,並開始下載惡意酬載IcedID或QBot。

這個Excel檔案內含的巨集,是已被混淆處理的Excel 4.0巨集公式,其功能是下載與執行惡意酬載。下載的過程中,該巨集會產生URL,並呼叫Windows API的功能URLDownloadToFile,藉由作業系統本身的機制,來執行下載金融木馬的工作。

一旦成功下載惡意程式,攻擊者也並非直接執行木馬程式本身,而是透過EXEC功能與Rundll32來載入。

而另一起攻擊行動Summer.gif裡,駭客寄送的垃圾郵件包含了具有惡意壓縮檔案的網址連結,這些檔案存放於遭駭的網站,檔案名稱為「documents.zip」、「document-XX.zip」,或者「doc-XX.zip」,其中XX代表2個隨機的字元。

與DotDat攻擊行動相同的是,這些ZIP檔案內含帶有巨集的Excel檔案,一旦使用者不小心執行這個Excel檔案,就會開始下載其他的作案工具。卡巴斯基指出,這個Excel檔案內含的巨集,也與DotDat所使用的同樣為Excel 4.0巨集公式,並且濫用Windows作業系統的URLDownloadToFile功能。但在下載作案工具方式主要的不同之處,則是Summer.gif攻擊行動的URL,駭客存放在惡意Excel檔案的儲存格裡面。

從URL的內容看來,下載的檔案名稱是「summer.gif」,但卡巴斯基指出,這並非是GIF圖檔,而是可執行檔案。這個巨集觸發該檔案的方式,則是使用WMI和regsvr32。

關於Summer.gif攻擊行動發生的過程,卡巴斯基指出,最高峰是在3月17日,但4月相關攻擊則都消聲匿跡。而在這兩起攻擊行動中,駭客所用來散布惡意軟體的手法又更進一步,包含假冒取消操作等讓受害者會感到壓力的內容,誘使用戶上當開啟釣魚郵件的附件或是連結,以及使用者上當之後,Excel巨集公式下載惡意程式的管道,是經由作業系統的API,就地取材(LoL)而可能得以繞過防毒軟體的攔截。如此刻意迴避資安防護機制的做法,近期還有像是透過冒牌客服的BazaCall,攻擊者改以客服引導受害者下載惡意軟體的方式,而使得釣魚郵件的惡意特徵變得較為難以識別。


熱門新聞

Advertisement