隨著網路資安廠商的防禦能力不斷提升,網路犯罪集團也開始在惡意程式上推出新的花招來因應。最近趨勢科技發現了一些經由垃圾郵件散布的新威脅被包裝在老舊且少用的檔案類型當中。垃圾郵件目前依然是網路犯罪集團最愛的散播途徑之一,垃圾郵件攻擊儘管老派,卻占了全球電子郵件流通數量的 48% 以上。
趨勢科技在 2017 年資安總評報告當中指出,垃圾郵件當中最常出現的惡意附件檔案類型為:.XLS、.PDF、.JS、.VBS、.DOCX、.DOC、.WSF、.XLSX、.EXE 及 .HTML。除此之外,我們也在今年八月發現了會散布 GandCrab v4.3 勒索病毒的 .EGG 檔案。不過,網路犯罪集團仍在不斷翻新其使用的檔案類型。以下說明網路犯罪集團如何利用一些舊的檔案類型來包裝新的威脅,證明他們隨時都在實驗新的技巧以躲避垃圾郵件過濾機制。
趨勢科技近日偵測到近 7,000 個採用 ARJ 壓縮的惡意檔案
ARJ 是「Archived by Robert Jung」的簡寫,這是一個 90 年代出現的檔案壓縮軟體,.ARJ 檔案的用途與 .ZIP 類似,只不過沒有後者那麼流行。儘管 .ARJ 檔案從 2014 年起即成為歹徒散布惡意檔案的格式之一,但我們最近發現使用 .ARJ 格式來散布惡意檔案的情況突然暴增。趨勢科技 Smart Protection Network™ 情報網最近已偵測到將近 7,000 個採用 ARJ 來壓縮的惡意檔案。
圖 1:隨附惡意 .ARJ 壓縮檔案的垃圾郵件攻擊過程。 繼續閱讀