訂單通知夾帶惡意PDF附件檔

趨勢科技最近收到關於一波惡意垃圾郵件攻擊的樣本,它會利用惡意PDF附件檔作為惡意軟體的感染載體。電子郵件本文並不包含任何內容,寄件者也是隨機產生。電子郵件夾帶了 PDF附件檔,開啟之後會出現一個惡意連結,點入連結就會下載惡意軟體到系統上。

 

經過研究,這惡意軟體被偵測為W2KM_CRYPJAFF.G。

強烈建議使用者要小心檢查電子郵件,開啟任何附件檔或連結前要仔細檢查寄件者和內容。

趨勢科技客戶可以受到對此電子郵件威脅的全面保護。

 

⊙原文來源:Order Email Notification Comes With Malicious PDF Attachment

 

垃圾郵件衰退了?

垃圾郵件衰退了?

身為威脅防禦專家,趨勢科技持續好幾年都提供每季資安綜合報告。我們會在每一季回顧上一季突出的主要威脅。也會檢視趨勢科技主動式雲端截毒服務  Smart Protection Network所收集和分析的威脅資料,讓我們能夠洞察威脅環境內的發展趨勢。在我們2015年第二季的報告「上升中的趨勢:對大眾科技的新駭客威脅」中,有一個持續一段時間的趨勢是影響世界的垃圾郵件數量降低。如下圖中所見,垃圾郵件數量從2014年八月起呈現下降趨勢。

 

垃圾郵件名單從大量盲目投遞到針對準確名單

雖然這對使用者來說是個好消息,我們深入探討呈現下降趨勢的可能原因。 Continue reading “垃圾郵件衰退了?”

巨集威脅和勒索軟體的里程碑:檢視電子郵件威脅環境

對網路犯罪來說,電子郵件是門大生意。

在2014年,每天有1963億封電子郵件在收發。在這之中,有1087億封是商業郵件。每天電子郵件大發送的數量,吸引網路犯罪分子會利用電子郵件攻擊大型企業。而這些攻擊可能導致數百萬美元的損失跟資料竊盜。根據報導,Home Depot外洩事件造成該公司6200萬美元的損失,而Target資料外洩事件造成2億2900萬的損失。

信件 網路釣魚Mail

但這並不代表企業是唯一容易遭受電子郵件攻擊的對象。根據趨勢科技在上半年度的觀察,電子郵件威脅在找尋受害對象時是一視同仁的。

今年上半年在垃圾郵件(SPAM)威脅環境有兩個趨勢。首先是巨集病毒相關垃圾郵件(SPAM)持續上升。第二是大量出現透過垃圾郵件寄送的勒索軟體 Ransomware攻擊。

舊玩意新花樣

在今年的前幾個月,趨勢科技注意到巨集垃圾郵件的威脅顯著地增加。這些垃圾郵件(SPAM)夾帶著.DOC、.DOCM、.XLS和.XLSM等Microsoft Office副檔名的附加檔案。在下圖一中整理出我們每月所見的惡意軟體相關垃圾郵件。雖然UPATRE(紅色)仍然是首要的垃圾郵件類型,我們可以看到巨集垃圾郵件(綠色)在許多月份都有所增加。

圖1、巨集垃圾郵件一直在成長 資料來源:蜜罐系統(honeypot)資料
圖1、巨集垃圾郵件一直在成長 資料來源:蜜罐系統(honeypot)資料

 

 

我們也看到一些包含PDF附件的電子郵件。這些附件實際上嵌入了.DOC文件。該.DOC文件包含執行後會下載惡意.EXE檔案的巨集。

 

圖2、.PDF檔案樣本
圖2、.PDF檔案樣本

Continue reading “巨集威脅和勒索軟體的里程碑:檢視電子郵件威脅環境”

垃圾郵件數量相對於去年上半年成長了60%,夾帶惡意軟體的郵件數量增加了22%

 

駭客 信 SPAM Hacker Mail

夾帶惡意軟體的郵件數量增加了22%,其中40%以上歸因於感染DOWNAD的電腦。雖然DOWNAD蠕蟲在2008年就出現,但它在今日仍是影響企業和中小企業的前三名惡意軟體之一。

我們也看到股票垃圾郵件在過去六個月的飆升。常見檔案儲存平台(如Dropbox)被濫用來放置惡意軟體, 在五月, UPATRE相關垃圾郵件利用了Dropbox連結,不僅是當作社交工程誘餌的一部分,也用來下載惡意檔案。

具有新聞價值的事件、電影和問題仍然是最有效的社交工程(social engineering 誘餌,用來誘騙使用者打開垃圾郵件,慣用手法是截取CNN和BBC的新聞頭條,將這些新聞片段加入垃圾郵件本文,藉著複製新聞的部分文章加上標題來繞過垃圾郵件過濾器。

在今年上半年,垃圾郵件數量相對於去年(2013)上半年成長了60%,趨勢科技將其歸於幾個因素:DOWNAD的普及率以及惡意軟體相關電子郵件加上垃圾郵件發送功能(如MYTOB)。熱門威脅像是UPATRE和Zeus/ZBOT也都利用垃圾郵件作為感染媒介來派送惡意軟體。在我們對2013年垃圾郵件情勢的檢視中,趨勢科技預測垃圾郵件會被繼續用來散播惡意軟體,這點仍然為真。

 

圖1、2014年第二季的垃圾郵件數量

 

垃圾郵件攻擊針對德國使用者

趨勢科技所分析的垃圾郵件中,有幾乎83%以上使用英文,還有17%的非英文語言。最常被垃圾郵件使用的非英文語言是德文,其次是日文。我們注意到有德文垃圾郵件夾帶主控台惡意軟體(CPL)。CPL惡意軟體最初是在今年初攻擊了巴西使用者。此外,在2014年第二季後段,我們看到EMOTET的出現,這是一種銀行惡意軟體,可以監聽網路活動來竊取使用者資料。它也同樣是透過主旨為快遞收據和銀行對帳單等電子郵件到達。根據我們的調查,德國的一些銀行被列在此一威脅的監控網站列表中。

圖2、垃圾郵件所使用的前五名語言

 

引人好奇的圖片和加味垃圾郵件案例

根據趨勢科技的蜜罐(honeypot)來源,前三名垃圾郵件類型為惡意軟體相關(20%),保健相關(16%),以及商業和股票垃圾郵件(11%)。我們也看到股票垃圾郵件在過去六個月的飆升。一個垃圾郵件樣本是關於提供使用者交易技巧來幫助他們快速致富的股票交易垃圾郵件。垃圾郵件技倆方面,我們觀察到之前會加入隨機無意義的文字到HTML中,但如今他們會在郵件本文加入新聞剪輯讓它看似正常以繞過垃圾郵件過濾器。此外,垃圾郵件發送者也結合了不那麼新的技術,像是圖片加入新聞剪輯的垃圾郵件,而非單純圖片。這樣可以避免被垃圾郵件過濾器偵測。

 

 

圖3、最常見的垃圾郵件類別

Continue reading “垃圾郵件數量相對於去年上半年成長了60%,夾帶惡意軟體的郵件數量增加了22%”

Asprox殭屍網路重生

作者:Nart Villeneuve(資深威脅研究員)

雖然垃圾郵件 殭屍網路是以發送不受歡迎的廣告郵件著稱,尤其是那些賣假藥的公司,但他們同時也是散播惡意軟體不可或缺的一部分。除了發送自己的惡意軟體好提高自己殭屍網路的規模,安裝其他的惡意軟體也讓這些幕後黑手們可以通過按次付費安裝模式來賺錢。

趨勢科技已經研究過惡名昭彰的Asprox垃圾郵件殭屍網路的運作模式。Asprox以發送偽裝成來自快遞公司(像是FedEx、DHL和美國郵局)的垃圾郵件(SPAM)而著稱。雖然Asprox殭屍網路只在過去幾年間被偶爾的提到,但其他類似手法的攻擊活動,還有利用知名航空公司的假機票詐騙(像是達美航空和美國航空)都受到相當的關注。

這些攻擊活動很少跟Asprox殭屍網路相連結。甚至更少看到關於這殭屍網路運作的分析報告。這怎麼可能呢?Asprox進行了一些修改讓自己變得更有效果:

  • 它使用成套的垃圾郵件(SPAM)範本,透過多種主題和語言去誘騙使用者打開惡意附件檔或點入惡意連結。
  • 它採用模組化的框架(利用KULUOZ惡意軟體),所以殭屍網路營運商可以在有需要時輕易地添加新功能。同時還用RC4加密以對抗網路層偵測技術。
  • 它擁有多個垃圾郵件(SPAM)郵件模組,其中一個會利用被入侵的合法電子郵件帳號來對抗使用信譽評比技術的反垃圾郵件系統。
  • 它會部署掃瞄模組,命令受感染電腦掃描網站漏洞。這是為了要透過被入侵淪陷網站來散播惡意軟體,以避免被網頁過濾和信譽評比技術偵測。
  • 它會散播資料竊取模組,讓它能夠取得受害者的FTP、網站和電子郵件帳號登錄資訊。

Continue reading “Asprox殭屍網路重生”

黑洞漏洞攻擊包(BHEK)利用Java漏洞, 試圖竊取儲存在瀏覽器內的資訊

作者:Romeo Dela Cruz(威脅反應工程師)

趨勢科技二〇一三資安預測裡,我們提到傳統的惡意軟體會專注在加強現有的武器,而非開發新威脅。可以佐證這一預測的好例子就是黑洞漏洞攻擊包不斷地改進自己以繞過安全偵測。事實上,我們最近發現了一起黑洞漏洞攻擊包(Blackhole Exploit Kit :BHEK)會利用一漏洞攻擊碼(趨勢科技偵測為JAVA_ARCAL.A)來攻擊最近被修補的CVE-2013-0431

如果使用者還記得,這漏洞是去年一月造成Java零時差攻擊騷動的一部分。也讓甲骨文釋出非週期性安全更新以快速地解決這個問題。只是這更新程式本身也有些嚴重的問題

這特殊的BHEK(Blackhole Exploit Kit)攻擊是從偽裝成PayPal的垃圾郵件(SPAM)開始。當使用者點入這封郵件內的內容時,會被重新導向到數個網站,最終來到藏有加密過BHEK程式碼的網頁。這程式碼會檢查訪客系統是否有Adobe Reader、Flash player和Java的相關漏洞。然後決定下載哪個漏洞攻擊碼(以及後續的行為)到系統內。

BHEK(Blackhole Exploit Kit)攻擊:偽裝來自PayPal的電子郵件樣本
圖一、偽裝來自PayPal的電子郵件樣本

經過趨勢科技的測試,這BHEK程式碼會檢查某些版本的Adobe Reader,讓它下載並執行一個惡意PDF檔案(被偵測為TROJ_PIDIEF.MEX),並攻擊一個舊漏洞CVE-2010-0188。

這BHEK程式碼也會在檢查受影響系統的Java版本,接著從一特定網頁下載並執行JAVA_ARCAL.A。JAVA_ARCAL.A接著會用%user%路徑下的command.exe來從一特定網址下載並執行TSPY_FAREIT.MEX。這行為會打開另一個網頁。根據趨勢科技的分析,TSPY_FAREIT.MEX會試圖竊取儲存在瀏覽器內的資訊,包括Chrome、Mozilla Firefox和Internet Explorer。最後,這BHEK程式碼將連上下列的惡意網頁,想讓使用者認為自己只是被重新導向到非惡意網站。

BHEK(Blackhole Exploit Kit)攻擊: 會試圖竊取儲存在瀏覽器內的資訊
圖二、感染鏈的最終目標網頁

 

趨勢科技主動式雲端截毒服務  Smart Protection Network的資料中,我們可以看出這起BHEK攻擊所影響最嚴重的國家和一些有意思的結果。受影響最嚴重的國家是美國,其次是墨西哥。這很讓人驚訝,因為墨西哥在過去的BHEK攻擊裡並沒有顯著的影響。這波BHEK受影響最嚴重的國家還包括德國、拉脫維亞、日本、澳洲、英國、法國、西班牙和義大利。

Continue reading “黑洞漏洞攻擊包(BHEK)利用Java漏洞, 試圖竊取儲存在瀏覽器內的資訊”

什麼是 SPAM 垃圾郵件?肉罐頭?(同場加映:電子郵件演變史)

spam
spam

 

 

 

 

 

 

 

 

 

 

1937年7月5日,美國罐頭肉製造商Jay Hormel發佈以其名字命名的「Hormel Spiced Ham(荷美爾香料火腿)」,後來透過命名比賽改名為 SPAM(Spiced Pork
and Ham),有添加香料(Spices)的豬肉火腿罐頭。

至於為何 SPAM演變成垃圾郵件呢?有一說法是源於一部英國喜劇團(Monty
Python)曾在一齣諷刺劇「spam-loving vikings(愛吃肉罐頭的維京人),劇中有對夫妻去餐廳用餐,妻子不想吃SPAM罐頭,可是在餐廳裏有一大群人,高聲地唱訟讚美「SPAM」稱頌肉罐頭的美味多達一百廿次,讓其他的用餐客人無可奈何。從此
SPAM就成為「重複、毫無益處、喧賓奪主、令人厭煩郵件」的代名詞。就像當年經濟蕭條,人們買不起鮮肉,而吃的SPAM 肉罐頭一樣,沒有營養成分。

 

垃圾郵件(SPAM)定義:

垃圾郵件(SPAM)是未經收件者同意,即大量散發的郵件,信件內容多半以促銷商品為意圖。垃圾郵件的也稱作UCE( unsolicited commercial email)或UBE(unsolicited bulk email)。 如同我們在前面提到的,垃圾郵件(SPAM)是某些想利用 Internet 致富的人,藉以散播廣告或色情的媒介。

嚴格說起來,垃圾郵件(SPAM)是一種剽竊行為。傳送 Mail 者只需花極少的金錢,即可造成收件者龐大的損失。假設一個人在每星期收到 12 封垃圾郵件(SPAM),個人使用者的損失並非立即顯現,但若企業體內每個人都收到此類信件時,它對企業網路環境的傷害可不僅僅是一件麻煩事而已了。沒有一家企業歡迎垃圾郵件(SPAM),但是SMTP伺服器卻得負荷傳送的流程。CPU、伺服器硬碟空間、終端機用戶硬碟空間都得因它而影響速度和空間。垃圾郵件(SPAM)除了將使網路陷入動彈不得的境地外,更令人憂心的是其附件檔案可能夾帶的病毒,將同時大量危害企業網路;附件網址可能附贈惡性程式,許多木馬病毒(Trojan Horses)就是藉此大量擴散。您可以想像如果讓這些未經許可的垃圾郵件(SPAM)繼續為所欲為,將造成企業多大的損失。

Melissa 梅麗莎(1999)與 LOVEBUG / I Love You 情書/愛情蟲(2001)就是病毒史上有名的 SPAM病毒(以下摘錄自20大病毒史見證單一目標與組織化攻擊,取代迅速擴散大量爆發)

Melissa 梅麗莎(1999)首隻透過電子郵件散播的主要病毒,也是網路病毒」開啟年代。雖然Melissa不具毀滅性,但所到之處因為會複製並塞爆電子郵件匣而造成干擾。1999年 3月26日晚間MELISSA展開大規模的 “全球性感染”,一夕之間迫使著名的大型企業強迫關閉他們的 EMAIL SERVER,紐約時報( NEW YORK TIMES)甚至以 “前所未有的 INTERNET 病毒風暴” 來形容,FBI也對各公民營企業發出呼籲,甚至發出通緝令將逮捕該名病毒作者。
LOVEBUG / I Love You 情書/愛情蟲(2001)最熱門的電子郵件病毒,純粹由社交工程 ( Social Engineering )陷阱手法驅動。

同場加映:電子郵件演變史

  • 1965年:電子郵件在麻省理工大學(MIT)誕生.
  • 1977: 美國郵政視電子郵件對傳統郵件的構成潛在威脅.
  • 1982年: email一詞開始使用.
  • 1988年: 第一個商業郵件系統——Mac版Microsoft Mial發佈.
  • 20世紀90年代: 垃圾郵件出現.
  • 1998年:全球首部以電子郵件為背景的電影《電子情書》首映.
  • 2004年:美國聯邦貿易委員會(Federal Trade Commission)制定反垃圾郵件法.
  • 2007年:Google正式向全球發佈GMAIL.
  • 2011年: 美聯社寫作風格書將e-mail書寫改成email
  • 資料來源:The Evolution Of Email [Infographic]

 

 

免費下載防毒軟體:歡迎試用下載瞭解與試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 即刻免費下載

◎ 歡迎加入趨勢科技社群網站