電子機票、稅務、付款、採購單確認信,夾帶巨集病毒,覬覦個資

微軟在今年初報告巨集相關威脅被垃圾郵件用來散播惡意軟體的數量增加。同樣地,趨勢科技也看到了附加內嵌巨集的微軟Word文件與Excel 試算表的垃圾郵件在急劇增加。

巨集是一組用來自動執行某些工作的指令或程式碼,但最近又再度被那些壞份子用來自動化惡意軟體相關工作。下面是一些我們提到各種巨集惡意軟體的部落格文章:

 

 

最近垃圾郵件會散播BARTALEX惡意軟體

下圖的最新電子郵件樣本顯示出偽加拿大航空電子機票與錯的航空公司資訊以DOC檔案格式加到郵件內。開啟DOC檔案會帶來內含惡意巨集的文件。趨勢科技將其偵測為 W2KM_BARTALEX.EU

圖1、偽加拿大航空電子機票帶有惡意巨集DOC檔案

 

圖2、在微軟Word 2010中開啟時的巨集警告

W2KM_BARTALEX是趨勢科技最新所提到帶有巨集行為的惡意軟體。它提供下載功能來帶入像是UPATRE的資料竊取惡意軟體,並且會根據受害系統的作業系統版本來植入檔案。其他巨集惡意軟體會利用巨集來下載惡意軟體,而W2KM_BARTALEX會植入.bat、.vbs、和.ps1檔案來下載更多惡意檔案。

對於Windows作業系統Vista及更新版本,W2KM_BARTALEX會植入名為adobeacd-update.bat的檔案,它會使用Windows Powershell命令列來執行adobeacd-update.ps1。PowerShell指令之前在2月就被用在另一起跟VAWTRAK惡意軟體相關的巨集攻擊

 

最近一波的巨集相關惡意軟體 只是冰山一角嗎?

趨勢科技所注意到的巨集相關垃圾郵件所用的常見副檔名包括了.DOC、.DOCM和.XLS。在 2 月的另一波則包括了.XLSM(如下圖所示)。

圖3、最新一波的巨集相關垃圾郵件包括.XLSM附加檔案

帶有巨集惡意軟體的垃圾郵件通常會利用社社交工程(social engineering 誘餌,像是匯款和發票通知,稅務和付款電子郵件,付款確認信,採購單等。大部分垃圾郵件甚至會在郵件主旨包含所謂的寄送代號來更加貼近真實。

我們可能會在今年剩下的時間內看到更多帶有W2KM_BARTALEX的垃圾郵件攻擊出現。儘管它是最新的惡意軟體,其他被偵測到的巨集惡意軟體包括X2KM_DLOARDR、W97M_MDROP、X2KM_DRILOD、W97M_SHELLHIDE。這些惡意軟體會帶來最終的惡意軟體行為,包括銀行惡意軟體ROVNIXVAWTRAKDRIDEXNEUREVT又稱Beta Bot

 

巨集惡意軟體數量在緩慢增加

下面的直條圖快速比較了帶有惡意巨集和UPATRE的相關垃圾郵件活動。雖然我們看到大多數附加到垃圾郵件的都是UPATRE惡意軟體,巨集惡意軟體的垃圾郵件也從2014年12月開始慢慢向上攀升,而且可能在未來幾個月都會持續下去。

 

圖4、巨集惡意軟體和UPATRE惡意軟體相關垃圾郵件數量的比較

 

最佳做法

 

正如趨勢科技一直建議的,使用者打開電子郵件附件檔時要小心謹慎,即便是來自熟悉或已知的寄件者。不要打開來自未知寄件者的電子郵件,尤其是要避免打開任何類型的附件檔案。作為防範措施,確保開啟應用程式中的巨集安全功能。

使用者可以透過趨勢科技安全軟體來對抗此威脅,防護病毒、網路釣魚和其他網路威脅。企業可以使用趨勢科技企業安全套裝軟體的端點安全防護,它提供了多層次的防護。

 

相關的檔案雜湊值:

  • c8683031e76cfbb4aba2aea27b8a77833642ea7d — W97M_MDROP

 

@原文出處:Macro-based Malware Increases Along with Spam Volume, Now Drops BARTALEX作者:Maydalene Salvador(垃圾郵件研究工程師)

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接

◎ 歡迎加入趨勢科技社群網站

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

免費下載 防毒軟體 PC-cillin 試用版下載

FB_banner0331-2