冒用多家公司內嵌Dropbox連結散播的UPATRE惡意軟體

趨勢科技最近看到好幾起垃圾郵件(SPAM)會利用熱門的檔案代管服務 – Dropbox。郵件的內嵌連結會下載UPATRE惡意軟體變種。UPATRE以下載其他惡意軟體而惡名昭彰,其中包括ZBOT惡意軟體和CryptoLocker勒索軟體 Ransomware 和網銀木馬ZeuS,新變種甚至可以避開防毒軟體。

我們所看到的垃圾郵件樣本之一會偽裝成eFax傳真通知郵件,並且在郵件內文加入Dropbox連結。一旦不知情的使用者點入連結,就會被導到一個Dropbox網址,進而下載被偵測為TROJ_UPATRE.YYMV的惡意檔案。一旦執行,它會下載一個ZBOT變種,偵測為TSPY_ZBOT.YYMV,它會植入一個被偵測為RTKT_NECURS.MJYE的Rootkit程式。該NECURS變種會在受感染系統上停用安全解決方案,造成進一步的感染。

 

圖一、這些垃圾郵件樣本

 

圖二、正常的eFax電子郵件通知

我們看到另一起帶有Dropbox連結的垃圾郵件偽裝成來自NatWest銀行,夾帶了所謂的NatWest銀行金融活動帳單,但它其實是TROJ_UPATRE惡意軟體。同樣地,它照著UPATRE-ZBOT-NECURS的感染鏈。根據我們趨勢科技的調查,這波垃圾郵件攻擊同樣利用其他正常公司的名稱,如Lloyds銀行、eFax、Intuit、ADP、BBB和Skype等等。我們還看到有垃圾郵件帶有Dropbox連結,但會重新導向加拿大藥局網站。

我們自五月23日開始就一直在監視這波垃圾郵件活動,它在一個禮拜後開始加大。Dropbox已經接獲相關事件的通知。我們也通知並提出了受影響帳號的列表,那些看來在Dropbox內託管惡意軟體的帳號。

趨勢科技報導過利用稅收作為主題的垃圾郵件也有著一樣的UPATRE、ZBOT、NECURS感染鍊。根據趨勢科技的統計資料,UPATRE仍是今年一到五月透過垃圾郵件散播最多的惡意軟體。

 

圖三:2014年一到五月透過垃圾郵件散播的惡意軟體前五名

 

網路犯罪分子經常會利用流行的事物作為他們社交工程的誘餌。在這情況下,惡意份子會濫用合法的Dropbox連結來誘騙使用者下載各種惡意軟體,進而導致系統感染和資料竊取。

趨勢科技會偵測所有相關垃圾郵件樣本和惡意檔案來保護使用者免於此威脅。

 

@原文出處:Social Engineering Watch: UPATRE Malware Abuses Dropbox Links

作者:Maria Manly(防垃圾郵件研究工程師)