垃圾郵件SPAM - 資安趨勢部落格

垃圾郵件數量相對於去年上半年成長了60％,夾帶惡意軟體的郵件數量增加了22％

2014 年 08 月 06 日2014 年 08 月 06 日趨勢科技 TrendMicro

夾帶惡意軟體的郵件數量增加了22％,其中40％以上歸因於感染DOWNAD的電腦。雖然DOWNAD蠕蟲在2008年就出現，但它在今日仍是影響企業和中小企業的前三名惡意軟體之一。

我們也看到股票垃圾郵件在過去六個月的飆升。常見檔案儲存平台（如Dropbox）被濫用來放置惡意軟體, 在五月， UPATRE相關垃圾郵件利用了Dropbox連結，不僅是當作社交工程誘餌的一部分，也用來下載惡意檔案。

具有新聞價值的事件、電影和問題仍然是最有效的社交工程（social engineering ）誘餌，用來誘騙使用者打開垃圾郵件，慣用手法是截取CNN和BBC的新聞頭條，將這些新聞片段加入垃圾郵件本文,藉著複製新聞的部分文章加上標題來繞過垃圾郵件過濾器。

在今年上半年，垃圾郵件數量相對於去年（2013）上半年成長了60％，趨勢科技將其歸於幾個因素：DOWNAD的普及率以及惡意軟體相關電子郵件加上垃圾郵件發送功能（如MYTOB）。熱門威脅像是UPATRE和Zeus/ZBOT也都利用垃圾郵件作為感染媒介來派送惡意軟體。在我們對2013年垃圾郵件情勢的檢視中，趨勢科技預測垃圾郵件會被繼續用來散播惡意軟體，這點仍然為真。

圖1、2014年第二季的垃圾郵件數量

垃圾郵件攻擊針對德國使用者

趨勢科技所分析的垃圾郵件中，有幾乎83％以上使用英文，還有17％的非英文語言。最常被垃圾郵件使用的非英文語言是德文，其次是日文。我們注意到有德文垃圾郵件夾帶主控台惡意軟體（CPL）。CPL惡意軟體最初是在今年初攻擊了巴西使用者。此外，在2014年第二季後段，我們看到EMOTET的出現，這是一種銀行惡意軟體，可以監聽網路活動來竊取使用者資料。它也同樣是透過主旨為快遞收據和銀行對帳單等電子郵件到達。根據我們的調查，德國的一些銀行被列在此一威脅的監控網站列表中。

圖2、垃圾郵件所使用的前五名語言

引人好奇的圖片和加味垃圾郵件案例

根據趨勢科技的蜜罐（honeypot）來源，前三名垃圾郵件類型為惡意軟體相關（20％），保健相關（16％），以及商業和股票垃圾郵件（11％）。我們也看到股票垃圾郵件在過去六個月的飆升。一個垃圾郵件樣本是關於提供使用者交易技巧來幫助他們快速致富的股票交易垃圾郵件。垃圾郵件技倆方面，我們觀察到之前會加入隨機無意義的文字到HTML中，但如今他們會在郵件本文加入新聞剪輯讓它看似正常以繞過垃圾郵件過濾器。此外，垃圾郵件發送者也結合了不那麼新的技術，像是圖片加入新聞剪輯的垃圾郵件，而非單純圖片。這樣可以避免被垃圾郵件過濾器偵測。

圖3、最常見的垃圾郵件類別

繼續閱讀

Asprox殭屍網路重生

2013 年 04 月 11 日2013 年 03 月 25 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Nart Villeneuve（資深威脅研究員）

雖然垃圾郵件殭屍網路是以發送不受歡迎的廣告郵件著稱，尤其是那些賣假藥的公司，但他們同時也是散播惡意軟體不可或缺的一部分。除了發送自己的惡意軟體好提高自己殭屍網路的規模，安裝其他的惡意軟體也讓這些幕後黑手們可以通過按次付費安裝模式來賺錢。

趨勢科技已經研究過惡名昭彰的Asprox垃圾郵件殭屍網路的運作模式。Asprox以發送偽裝成來自快遞公司（像是FedEx、DHL和美國郵局）的垃圾郵件(SPAM)而著稱。雖然Asprox殭屍網路只在過去幾年間被偶爾的提到，但其他類似手法的攻擊活動，還有利用知名航空公司的假機票詐騙（像是達美航空和美國航空）都受到相當的關注。

這些攻擊活動很少跟Asprox殭屍網路相連結。甚至更少看到關於這殭屍網路運作的分析報告。這怎麼可能呢？Asprox進行了一些修改讓自己變得更有效果：

它使用成套的垃圾郵件(SPAM)範本，透過多種主題和語言去誘騙使用者打開惡意附件檔或點入惡意連結。
它採用模組化的框架（利用KULUOZ惡意軟體），所以殭屍網路營運商可以在有需要時輕易地添加新功能。同時還用RC4加密以對抗網路層偵測技術。
它擁有多個垃圾郵件(SPAM)郵件模組，其中一個會利用被入侵的合法電子郵件帳號來對抗使用信譽評比技術的反垃圾郵件系統。
它會部署掃瞄模組，命令受感染電腦掃描網站漏洞。這是為了要透過被入侵淪陷網站來散播惡意軟體，以避免被網頁過濾和信譽評比技術偵測。
它會散播資料竊取模組，讓它能夠取得受害者的FTP、網站和電子郵件帳號登錄資訊。

繼續閱讀

黑洞漏洞攻擊包(BHEK)利用Java漏洞, 試圖竊取儲存在瀏覽器內的資訊

2013 年 03 月 28 日2013 年 06 月 28 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Romeo Dela Cruz（威脅反應工程師）

在趨勢科技的二〇一三資安預測裡，我們提到傳統的惡意軟體會專注在加強現有的武器，而非開發新威脅。可以佐證這一預測的好例子就是黑洞漏洞攻擊包不斷地改進自己以繞過安全偵測。事實上，我們最近發現了一起黑洞漏洞攻擊包（Blackhole Exploit Kit :BHEK）會利用一漏洞攻擊碼（趨勢科技偵測為JAVA_ARCAL.A）來攻擊最近被修補的CVE-2013-0431。

如果使用者還記得，這漏洞是去年一月造成Java零時差攻擊騷動的一部分。也讓甲骨文釋出非週期性安全更新以快速地解決這個問題。只是這更新程式本身也有些嚴重的問題。

這特殊的BHEK(Blackhole Exploit Kit)攻擊是從偽裝成PayPal的垃圾郵件(SPAM)開始。當使用者點入這封郵件內的內容時，會被重新導向到數個網站，最終來到藏有加密過BHEK程式碼的網頁。這程式碼會檢查訪客系統是否有Adobe Reader、Flash player和Java的相關漏洞。然後決定下載哪個漏洞攻擊碼（以及後續的行為）到系統內。

BHEK(Blackhole Exploit Kit)攻擊:偽裝來自PayPal的電子郵件樣本 — 圖一、偽裝來自PayPal的電子郵件樣本

經過趨勢科技的測試，這BHEK程式碼會檢查某些版本的Adobe Reader，讓它下載並執行一個惡意PDF檔案（被偵測為TROJ_PIDIEF.MEX），並攻擊一個舊漏洞CVE-2010-0188。

這BHEK程式碼也會在檢查受影響系統的Java版本，接著從一特定網頁下載並執行JAVA_ARCAL.A。JAVA_ARCAL.A接著會用%user%路徑下的command.exe來從一特定網址下載並執行TSPY_FAREIT.MEX。這行為會打開另一個網頁。根據趨勢科技的分析，TSPY_FAREIT.MEX會試圖竊取儲存在瀏覽器內的資訊，包括Chrome、Mozilla Firefox和Internet Explorer。最後，這BHEK程式碼將連上下列的惡意網頁，想讓使用者認為自己只是被重新導向到非惡意網站。

BHEK(Blackhole Exploit Kit)攻擊: 會試圖竊取儲存在瀏覽器內的資訊 — 圖二、感染鏈的最終目標網頁

從趨勢科技主動式雲端截毒服務 Smart Protection Network的資料中，我們可以看出這起BHEK攻擊所影響最嚴重的國家和一些有意思的結果。受影響最嚴重的國家是美國，其次是墨西哥。這很讓人驚訝，因為墨西哥在過去的BHEK攻擊裡並沒有顯著的影響。這波BHEK受影響最嚴重的國家還包括德國、拉脫維亞、日本、澳洲、英國、法國、西班牙和義大利。

繼續閱讀

什麼是 SPAM ?是垃圾郵件還是肉罐頭？(同場加映：電子郵件演變史)

2011 年 10 月 13 日2022 年 11 月 17 日趨勢科技 TrendMicro 94 筆留言

1937年7月5日，美國罐頭肉製造商Jay Hormel發佈以其名字命名的「Hormel Spiced Ham（荷美爾香料火腿）」，後來透過命名比賽改名為 SPAM(「Shoulder of Pork and Ham」)，指豬肩肉與火腿的豬肉火腿罐頭。SPAM 銷售全球，並在100多個國家/地區註冊了商標,目前在台灣超市也買得到。

在二戰參戰時午餐肉成了美軍伙食，並且隨著軍隊出征而推廣至全球各地。1950年代韓戰後，由駐韓美軍基地流入韓國,成為火鍋食材，就是所謂的「部隊鍋」。雖然SPAM午餐肉是當時難得的戰時肉類供應來源，不過對於美國大兵而言，供應數量極為龐大午餐肉感到極為厭惡。

至於為何 SPAM演變成垃圾郵件呢？有一說法是源於一部英國喜劇團（Monty Python）曾在一齣諷刺劇「spam-loving vikings（愛吃肉罐頭的維京人），劇中有對夫妻去餐廳用餐，妻子不想吃SPAM罐頭，可是在餐廳裏只供應午餐肉,還有一大群人，高聲地歌頌讚美「SPAM」多達一百廿次，讓其他的用餐客人感到厭煩。從此 SPAM就成為「重複、毫無益處、喧賓奪主、令人厭煩郵件」的代名詞。就像當年經濟蕭條，人們買不起鮮肉，而吃的SPAM 肉罐頭一樣,有高含量的脂肪、鈉和防腐劑，不宜攝取過量。

垃圾郵件（SPAM）定義：

垃圾郵件（SPAM）是未經收件者同意，即大量散發的郵件，信件內容多半以促銷商品為意圖。垃圾郵件的也稱作UCE（ unsolicited commercial email）或UBE（unsolicited bulk email）。如同我們在前面提到的，垃圾郵件（SPAM）是某些想利用 Internet 致富的人，藉以散播廣告或色情的媒介。

嚴格說起來，垃圾郵件（SPAM）是一種剽竊行為。傳送 Mail 者只需花極少的金錢，即可造成收件者龐大的損失。假設一個人在每星期收到 12 封垃圾郵件（SPAM），個人使用者的損失並非立即顯現，但若企業體內每個人都收到此類信件時，它對企業網路環境的傷害可不僅僅是一件麻煩事而已了。沒有一家企業歡迎垃圾郵件（SPAM），但是SMTP伺服器卻得負荷傳送的流程。CPU、伺服器硬碟空間、終端機用戶硬碟空間都得因它而影響速度和空間。垃圾郵件（SPAM）除了將使網路陷入動彈不得的境地外，更令人憂心的是其附件檔案可能夾帶的病毒，將同時大量危害企業網路;附件網址可能附贈惡性程式，許多木馬病毒（Trojan Horses）就是藉此大量擴散。您可以想像如果讓這些未經許可的垃圾郵件（SPAM）繼續為所欲為，將造成企業多大的損失。

Melissa 梅麗莎(1999)與 LOVEBUG / I Love You 情書/愛情蟲(2001)就是病毒史上有名的 SPAM病毒（以下摘錄自20大病毒史見證單一目標與組織化攻擊,取代迅速擴散大量爆發）

Melissa 梅麗莎(1999)首隻透過電子郵件散播的主要病毒，也是網路病毒開啟年代。雖然Melissa不具毀滅性，但所到之處因為會複製並塞爆電子郵件匣而聲名大噪，一夕之間迫使著名的全球大型企業強迫關閉他們的 EMAIL SERVER，紐約時報（ NEW YORK TIMES）甚至以 “前所未有的Internet 病毒風暴” 來形容，FBI 也對各公民營企業發出呼籲，甚至發出通緝令將逮捕該名病毒作者。垃圾郵件除了會讓你的收件匣填滿垃圾以外，這些垃圾訊息也可能會造成嚴重的傷害，它們會誘騙人們在不經意間給出自己的個人或財務等機敏資訊。
LOVEBUG / I Love You 情書/愛情蟲(2001)最熱門的電子郵件病毒，純粹由社交工程 ( Social Engineering )陷阱手法驅動。

同場加映：電子郵件演變史