當網路罪犯的垃圾郵件攻擊技術愈來愈有創意時,有愈來愈多特殊檔案型態被用來做為檔案附件就不足為奇了,在四月份的攻擊行動,就有案例利用了 ISO 映像檔散佈以下兩種惡名昭彰的木馬程式:LokiBot 和 NanoCore。
惡意垃圾郵件以假發票電子郵件的形式出現,該發票說明收件者可以開啟 ISO 映像檔附件,以存取帳單。這一點值得注意,因為發票通常是以 Word 文件或 Excel 檔案的形式傳送的。因此,使用 ISO 映像檔做為發票極不尋常。檔案大小使附件的本質更為可疑。樣本大約 1 MB 到 2 MB;如果考慮到典型 ISO 映像檔的檔案大小通常更大,這樣的大小同樣是很罕見的。
該映像檔中含有可執行酬載,可能是 LokiBot (經偵測為 TrojanSpy.Win32.LOKI.THFBFAI) 或 NanoCore (經偵測為 Backdoor.Win32.NANOBOT.SMY);當使用者點擊附件時,木馬程式就會下載到系統當中。
繼續閱讀曾由趨勢科技在 2014 年所發現的「Emotet」銀行木馬程式,去年已經正起死回生,並推出自家的垃圾郵件模組來散布該程式,開始攻擊一些新的產業和地區,甚至能躲避沙盒模擬與惡意程式分析技巧。今年,我們進一步分析了 Emotet 的活動來了解這個模組化惡意程式的惡意行為。我們針對 Emotet 的相關威脅樣本進行了一番徹底的研究,包括 2018 年 6 月 1 日至 11 月 15 日這段期間所蒐集到的相關威脅樣本:8,528 個非重複網址、5,849 個文件植入程式以及 571 個執行檔,並發現了 Emotet 的幕後基礎架構以及可能的犯罪集團資訊。
》 延伸閱讀: 假冒銀行轉帳通知耍詐!!銀行惡意軟體會利用網路監聽來竊取資料
以下是幾項重要的研發現:
JAVA_ADWIND是一個跨平台 DIY 專用遠端存取木馬程式(RAT),可在任何安裝有 Java 軟體的系統上執行,因此涵蓋了 Windows、Mac OSX、Linux 以及 Android。最近出現了一個專門散布該惡意程式的垃圾郵件攻擊行動,但這次其主要目標是航太工業,而受害最嚴重的國家是瑞士、烏克蘭、奧地利和美國。該程式的惡意行為包括:竊取使用者憑證、側錄鍵盤輸入內容、拍照或抓取螢幕畫面、錄影或擷取影片,以及將資料外傳。
基本上,網路犯罪集團都是機會主義者。那個作業系統開始熱門,他們就會開發出對應的工具和攻擊技巧,藉此網羅更多受害者。這就是惡意程式為何希望能夠跨越各種不同平台。而且,若能再配合某種商業模式來將惡意程式賣給其他犯罪分子的話,效益就更高。
眼前就有一個案例:Adwind/jRAT (趨勢科技命名為:JAVA_ADWIND)。這是一個跨平台遠端存取木馬程式 (RAT),可在任何安裝有 Java 軟體的系統上執行,因此涵蓋了 Windows、Mac OSX、Linux 以及 Android。
最近出現了一個專門散布該惡意程式的垃圾郵件攻擊行動,但這次其主要目標是航太工業,而受害最嚴重的國家是瑞士、烏克蘭、奧地利和美國。
Adwind 幕後集團現正活躍
這起垃圾郵件攻擊正好呼應了趨勢科技對 JAVA_ADWIND 長期監控的研究結果。事實上,此惡意程式的偵測數量從今年初便持續穩定成長:從一月份的 5,286 增加至六月份的 117,649。另一點值得注意的是,JAVA_ADWIND 的偵測數量從五月至六月一下子暴增 107%,顯示犯罪集團正積極地散播該程式。
Adwind/jRAT 的惡意行為包括:竊取使用者憑證、側錄鍵盤輸入內容、拍照或抓取螢幕畫面、錄影或擷取影片,以及將資料外傳。Adwind 之前的版本大多用來攻擊銀行和丹麥企業,甚至會收編受感染的裝置來納入「Botnet傀儡殭屍網路」網路當中。
Adwind 身為一個跨平台 DIY 專用遠端存取木馬程式,它其實還有許多別名:jRAT、Universal Remote Control Multi-Platform (UNRECOM)、AlienSpy、Frutas 以及 JSocket。2014 年,趨勢科技曾經發現一個修改過的 Android 版 Adwind/jRAT,增加了數位貨幣採礦功能。而且由於它採用服務的經營方式,因此我們可以看到許多其他網路犯罪集團所開發的客製化版本與專屬功能。
圖 1:JAVA_ADWIND 從 2017 年 1 月至 6 月的偵測量。 繼續閱讀
趨勢科技發現偽裝 Google 的信件未送達報告(non-delivery report)或未遞送郵件通知(undelivered mail notice)的垃圾郵件,這些郵件有著各種不同的寄件地址。
這些垃圾郵件夾帶著檔案名稱以Google_Mail或Google_Drive開頭的.ZIP附加檔案。一旦打開附加檔案會執行惡意JavaScript程式碼。趨勢科技產品的用戶可以放心,這些垃圾郵件已經被封鎖。
@原文出處:Spam Pose as Google Non-Delivery Report, Contains Trojan Attachment
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
▼ 歡迎加入趨勢科技社群網站▼
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載(請用電腦下載)
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載(請用電腦下載)
網路釣魚(Phishing)通常是利用假冒某機構的電子郵件,並且內含惡意連結來將使用者導向幾可亂真的假冒網站,讓使用者在上面輸入自己的登入資訊。若您會在電腦上使用電子郵件用戶端軟體收信,例如 Microsoft® Outlook®、Microsoft® Outlook® Express 或 Windows Live Mail (詳細的電子郵件用戶端軟體與版本支援清單,請看下表),您可以利用趨勢科技PC-cillin雲端版 的垃圾郵件防護功能來攔截這些軟體所收到的不肖郵件。此外,PC-cillin雲端版 還可以幫您檢查並清除電子郵件當中的惡意附件檔案。
作業系統平台與郵件用戶端軟體支援清單
1.要設定垃圾郵件(SPAM)防護功能,首先,請點兩下桌面或 Windows 系統匣中的趨勢科技圖示來開啟趨勢科技PC-cillin雲端版主畫面。
2.按一下設定,接著,若您先前曾在趨勢科技PC-cillin雲端版設定過密碼,現在會看到輸入密碼的畫面。 繼續閱讀
