病毒提前過情人節?看到「Love you 」附件別亂點! 垃圾信夾帶惡意JavaScript,散播勒索病毒挖礦程式,台灣列全球第五大感染區

使用垃圾郵件來挾帶 JavaScript 惡意程式早已不是新聞，但對使用者來說卻仍是一項重大威脅，因為這類手法已不再需要仰賴執行檔或使用者的操作就能發動。只要惡意程式碼儲存在硬碟上，就能經由使用 JavaScript 的網頁指定 JavaScript 程式庫讓 Windows 預設執行。
這些惡意程式不僅可能存取、蒐集、竊取機密資料與系統資訊，更可能提供其他不法功能，例如讓駭客從遠端操控系統。
目前看到許多標題不外乎「Wrote the fantasy about us down 」
「 Felt in love with you 」 ,且許多Zip 附件檔名都含有「Love you 」字樣 ,情人節將至,大家請提高警覺,點選情人節相關郵件時,請提高警覺。

趨勢科技從 2018 年 12 月 31 日至今已在 72,000 多封電子郵件當中發現大量 JavaScript 惡意程式，且數量突然暴增。這些惡意程式會散布至少 8 種其他類型的惡意程式，如：GandCrab 勒索病毒及挖礦程式。根據趨勢科技的資料顯示，偵測數量最多的國家依序為：日本、印度、美國、德國、台灣、菲律賓及加拿大，且大多數來自教育、政府、製造和銀行產業。在本文撰稿時，其下載來源 IP 位址已遭到封鎖。趨勢科技的機器學習和行為偵測技術已能主動偵測並攔截這些惡意的 JavaScript。

圖 1：根據趨勢科技 Smart Protection Network™ 的資料顯示 2019 年一開始網路上即出現大量惡意程式，尤其是 1 月 3 日的數量最高。

圖 2：偵測數量最多的國家:台灣名列第五。

垃圾郵件標題不固定，隨機產生寄件地址,點選郵件挾帶的 ZIP 檔就中毒

根據 SANS ISC 的報告指出，這些垃圾郵件的標題並不固定，此外寄件地址也是隨機產生。點選郵件挾帶的 ZIP 檔案就會執行其 JavaScript (趨勢科技命名為 TROJAN.JS.PLOPROLO.THOAOGAI) 並從幕後操縱 (C&C) 伺服器下載惡意程式，例如：GandCrab、Smoke、AZORult、Phorpiex、挖礦程式等等。
不過,目前趨勢科技在72,000 多封含有 JavaScript 惡意程式的電子郵件中,看到許多情節容易誤點的標題,比如: 「Wrote the fantasy about us down 」
「 Felt in love with you 」 ,且許多Zip 附件檔名都含有「Love you 」字樣 ,情人節將至,大家還點選相關主旨信件時,請多加留意。

圖 3：72,000 多封含有 JavaScript 惡意程式的電子郵件其中幾個樣本。

圖 4：這波垃圾郵件所散布的幾種惡意程式。

[延伸閱讀：Spam campaign abusing SettingContent-ms Found dropping same FlawedAmmyy RAT distributed by Necurs]

趨勢科技的偵測系統在惡意程式暴增的短短幾天之內就發現數千個非重複的 SHA 雜湊碼。其下載來源 IP 位址 (根據我們追查是註冊在俄羅斯) 在本文撰寫時已無法連上，但其惡意程式在網路上仍可找到。有趣的是，網路犯罪集團會變換其下載的惡意程式，根據攻擊對象所在地區和所屬產業而散布不同的惡意程式。

圖 5：惡意的腳本會從某個 IP 位址下載各種惡意程式。本文撰寫時所分析到的程式會下載 GandCrab 勒索病毒。

圖 6：即使歹徒註冊的 IP 位址已遭封鎖，但歹徒還是經由其他網站來提供惡意檔案，繼續散發垃圾郵件。

網路犯罪集團經常利用一些全新或之前用過技巧來入侵使用者或企業系統以謀取不法獲利。使用垃圾郵件來挾帶 JavaScript 惡意程式早已不是新聞，但對使用者來說卻仍是一項重大威脅，因為這類手法已不再需要仰賴執行檔或使用者的操作就能發動。不僅如此，只要惡意程式碼儲存在硬碟上，就能經由使用 JavaScript 的網頁指定 JavaScript 程式庫讓 Windows 預設執行。

[延伸閱讀：Same old yet brand new: New file types emerge in malware spam attachments]

只要開啟惡意郵件或附件檔案，就會啟動惡意程式下載，這些惡意程式不僅可能存取、蒐集、竊取機密資料與系統資訊，更可能提供其他不法功能，例如讓駭客從遠端操控系統。以下是這類威脅的防範之道：