惡意垃圾郵件利用 ISO 映像檔散佈夾帶兩隻木馬的假發票

當網路罪犯的垃圾郵件攻擊技術愈來愈有創意時,有愈來愈多特殊檔案型態被用來做為檔案附件就不足為奇了,在四月份的攻擊行動,就有案例利用了 ISO 映像檔散佈以下兩種惡名昭彰的木馬程式:LokiBot 和 NanoCore。

惡意垃圾郵件以假發票電子郵件的形式出現,該發票說明收件者可以開啟 ISO 映像檔附件,以存取帳單。這一點值得注意,因為發票通常是以 Word 文件或 Excel 檔案的形式傳送的。因此,使用 ISO 映像檔做為發票極不尋常。檔案大小使附件的本質更為可疑。樣本大約 1 MB 到 2 MB;如果考慮到典型 ISO 映像檔的檔案大小通常更大,這樣的大小同樣是很罕見的。

該映像檔中含有可執行酬載,可能是 LokiBot (經偵測為 TrojanSpy.Win32.LOKI.THFBFAI) 或 NanoCore (經偵測為 Backdoor.Win32.NANOBOT.SMY);當使用者點擊附件時,木馬程式就會下載到系統當中。

繼續閱讀

起死回生的Emotet銀行木馬程式,在全球建立了721個非重複的 C&C 伺服器

曾由趨勢科技在 2014 年所發現的「Emotet」銀行木馬程式,去年已經正起死回生,並推出自家的垃圾郵件模組來散布該程式,開始攻擊一些新的產業和地區,甚至能躲避沙盒模擬與惡意程式分析技巧。今年,我們進一步分析了 Emotet 的活動來了解這個模組化惡意程式的惡意行為。我們針對 Emotet 的相關威脅樣本進行了一番徹底的研究,包括 2018 年 6 月 1 日至 11 月 15 日這段期間所蒐集到的相關威脅樣本:8,528 個非重複網址、5,849 個文件植入程式以及 571 個執行檔,並發現了 Emotet 的幕後基礎架構以及可能的犯罪集團資訊。

》 延伸閱讀: 假冒銀行轉帳通知耍詐!!銀行惡意軟體會利用網路監聽來竊取資料

以下是幾項重要的研發現:

  1. 至少有兩組並行的基礎架構在背後支撐 Emotet 的殭屍網路
    當我們將該惡意程式的幕後操縱 (C&C) 伺服器和 RSA 金鑰進行分類之後就能清出看出兩組不同的基礎架構。此外我們也發現歹徒每個月都換更換一次 RSA 金鑰。而不同基礎架構所推送的下一階段惡意程式在用途和攻擊目標上並無重大差異,因此分開兩組基礎架構的用意應該只是為了讓 Emotet 更不容易被追查,同時也提供容錯備援的能力。
  2. Emotet 的相關樣本可能是經由多個分層負責的不同單位所製作
    從活動模式不一致的情況可以看出,負責製作及散布文件植入程式的幕後單位,似乎與負責壓縮及部署 Emotet 執行檔的單位不同。文件植入程式在非上班時間 (UTC 時間凌晨 1:00 至 6:00) 會停止製作。此時很可能有三組不同的電腦正在壓縮及部署 Emotet 的執行檔,其中兩組的系統時區可能分別設定在 UTC +0 以及 UTC +7。
  3. Emotet 惡意程式的作者很可能住在 UTC+10 或者更往東邊一點的時區內
    當我們根據每個執行檔樣本所解壓縮出來的惡意程式組譯時間戳記來將這些執行檔分類時,我們可歸納出兩個樣本群組,其組譯時間戳記與惡意程式首次在外發現的時間一致。這原因很可能是組譯時間戳記使用的是惡意程式作者的電腦當地時間。如果這些當地時間正確無誤的話,那就可推論出惡意程式作者很可能住在 UTC +10 或更往東邊一點的時區內。

繼續閱讀

鎖定航太工業的垃圾郵件攻擊,散播跨平台遠端存取木馬 Adwind

JAVA_ADWIND是一個跨平台 DIY 專用遠端存取木馬程式(RAT),可在任何安裝有 Java 軟體的系統上執行,因此涵蓋了 Windows、Mac OSX、Linux 以及 Android。最近出現了一個專門散布該惡意程式的垃圾郵件攻擊行動,但這次其主要目標是航太工業,而受害最嚴重的國家是瑞士、烏克蘭、奧地利和美國。該程式的惡意行為包括:竊取使用者憑證、側錄鍵盤輸入內容、拍照或抓取螢幕畫面、錄影或擷取影片,以及將資料外傳。

基本上,網路犯罪集團都是機會主義者。那個作業系統開始熱門,他們就會開發出對應的工具和攻擊技巧,藉此網羅更多受害者。這就是惡意程式為何希望能夠跨越各種不同平台。而且,若能再配合某種商業模式來將惡意程式賣給其他犯罪分子的話,效益就更高。

眼前就有一個案例:Adwind/jRAT (趨勢科技命名為:JAVA_ADWIND)。這是一個跨平台遠端存取木馬程式 (RAT),可在任何安裝有 Java 軟體的系統上執行,因此涵蓋了 Windows、Mac OSX、Linux 以及 Android。

最近出現了一個專門散布該惡意程式的垃圾郵件攻擊行動,但這次其主要目標是航太工業,而受害最嚴重的國家是瑞士、烏克蘭、奧地利和美國。

Adwind 幕後集團現正活躍
這起垃圾郵件攻擊正好呼應了趨勢科技對 JAVA_ADWIND 長期監控的研究結果。事實上,此惡意程式的偵測數量從今年初便持續穩定成長:從一月份的 5,286 增加至六月份的 117,649。另一點值得注意的是,JAVA_ADWIND 的偵測數量從五月至六月一下子暴增 107%,顯示犯罪集團正積極地散播該程式。

Adwind/jRAT 的惡意行為包括:竊取使用者憑證、側錄鍵盤輸入內容、拍照或抓取螢幕畫面、錄影或擷取影片,以及將資料外傳。Adwind 之前的版本大多用來攻擊銀行和丹麥企業,甚至會收編受感染的裝置來納入「Botnet傀儡殭屍網路」網路當中。

Adwind 身為一個跨平台 DIY 專用遠端存取木馬程式,它其實還有許多別名:jRAT、Universal Remote Control Multi-Platform (UNRECOM)、AlienSpyFrutas 以及 JSocket。2014 年,趨勢科技曾經發現一個修改過的 Android 版 Adwind/jRAT,增加了數位貨幣採礦功能。而且由於它採用服務的經營方式,因此我們可以看到許多其他網路犯罪集團所開發的客製化版本與專屬功能。


圖 1:JAVA_ADWIND 從 2017 年 1 月至 6 月的偵測量。 繼續閱讀

偽裝 Google 信件未送達通知,夾帶木馬

趨勢科技發現偽裝 Google 的信件未送達報告(non-delivery report)或未遞送郵件通知(undelivered mail notice)的垃圾郵件,這些郵件有著各種不同的寄件地址。

 

這些垃圾郵件夾帶著檔案名稱以Google_MailGoogle_Drive開頭的.ZIP附加檔案。一旦打開附加檔案會執行惡意JavaScript程式碼。趨勢科技產品的用戶可以放心,這些垃圾郵件已經被封鎖。

@原文出處:Spam Pose as Google Non-Delivery Report, Contains Trojan Attachment

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

 


【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載(請用電腦下載)

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載(請用電腦下載)

 

< 防毒軟體 > 設定PC-cillin 雲端版的垃圾郵件防護

網路釣魚(Phishing)通常是利用假冒某機構的電子郵件,並且內含惡意連結來將使用者導向幾可亂真的假冒網站,讓使用者在上面輸入自己的登入資訊。若您會在電腦上使用電子郵件用戶端軟體收信,例如 Microsoft® Outlook®、Microsoft® Outlook® Express 或 Windows Live Mail (詳細的電子郵件用戶端軟體與版本支援清單,請看下表),您可以利用趨勢科技PC-cillin雲端版 的垃圾郵件防護功能來攔截這些軟體所收到的不肖郵件。此外,PC-cillin雲端版 還可以幫您檢查並清除電子郵件當中的惡意附件檔案。

 作業系統平台與郵件用戶端軟體支援清單

 

1.要設定垃圾郵件(SPAM)防護功能,首先,請點兩下桌面或 Windows 系統匣中的趨勢科技圖示來開啟趨勢科技PC-cillin雲端版主畫面。

 

1

2.按一下設定,接著,若您先前曾在趨勢科技PC-cillin雲端版設定過密碼,現在會看到輸入密碼的畫面。 繼續閱讀