惡意垃圾郵件利用 ISO 映像檔散佈夾帶兩隻木馬的假發票

當網路罪犯的垃圾郵件攻擊技術愈來愈有創意時,有愈來愈多特殊檔案型態被用來做為檔案附件就不足為奇了,在四月份的攻擊行動,就有案例利用了 ISO 映像檔散佈以下兩種惡名昭彰的木馬程式:LokiBot 和 NanoCore。

惡意垃圾郵件以假發票電子郵件的形式出現,該發票說明收件者可以開啟 ISO 映像檔附件,以存取帳單。這一點值得注意,因為發票通常是以 Word 文件或 Excel 檔案的形式傳送的。因此,使用 ISO 映像檔做為發票極不尋常。檔案大小使附件的本質更為可疑。樣本大約 1 MB 到 2 MB;如果考慮到典型 ISO 映像檔的檔案大小通常更大,這樣的大小同樣是很罕見的。

該映像檔中含有可執行酬載,可能是 LokiBot (經偵測為 TrojanSpy.Win32.LOKI.THFBFAI) 或 NanoCore (經偵測為 Backdoor.Win32.NANOBOT.SMY);當使用者點擊附件時,木馬程式就會下載到系統當中。

該攻擊行動中使用的技術,證實了網路罪犯正使用更多種檔案類型進行電子郵件攻擊。趨勢科技在 2018 年偵測到的進階電子郵件威脅包括具有 IQY 和 ARJ 檔案附件,並藏有惡意軟體的垃圾電子郵件。ISO 檔案不僅一經點擊便會自動安裝,同時電子郵件安全解決方案通常也會把這類檔案列入白名單中,因此不難理解網路罪犯為何會利用此一漏洞進行攻擊。

[請參閱:趨勢科技 Cloud App Security 報告 2018:先進防護技術抵禦進階電子郵件威脅]

LokiBot 和 NanoCore

LokiBot 是一種持續演化的惡意軟體,具有竊取資訊和鍵盤側錄的能力。地下論壇過去常將 LokiBot 當成竊取密碼和加密貨幣錢包的工具,現在則大量應用於各種攻擊行動之中。

在這次特殊的攻擊活動中所使用的變種新增許多技術,可協助惡意軟體偵測載入位置。LokiBot 不僅會利用 IsDebuggerPresent() 函數來偵測自己是不是位於除錯程式之內,同時也會計算 CloseHandle() 和 GetProcessHeap() 之間的運算時間差,藉此確認自己是否是在虛擬機器中執行。這個惡意軟體除了會收集資料之外 (包括網際網路瀏覽器資訊和登入認證資訊),還會檢查是否有網路、電子郵件伺服器和遠端管理工具。

另一個酬載 NanoCore 則是一種遠端存取工具 (RAT),由於這套工具擁有各種外掛程式可擴充功能,使其具備高度模組化和可自訂性。

與 LokiBot 相同,地下論壇一樣有販售 NanoCore,方便其他威脅者可將這個惡意軟體用於自己策劃的攻擊行動當中。在這次惡意電子郵件攻擊行動中,NanoCore 會建立一個互斥物件 (mutex)、執行植入程序,並利用登錄編輯程式持續運行。這個惡意軟體與 LokiBot 酬載類似,也會試圖偵測除錯程式是否存在。NanoCore 的目標是擷取剪貼簿資料和按鍵動作,並從文件檔中竊取資訊。

如何防範惡意電子郵件?四招必學

儘管 LokiBot 和 NanoCore 兩者都是相當先進的惡意軟體,但其主要感染途徑都是透過惡意電子郵件來執行。因此,協助使用者以更有效的方式偵測並防範惡意電子郵件,仍是杜絕惡意軟體威脅的最佳實務。

  1. 謹防語法和印刷錯誤。商業電子郵件,尤其是在企業和其供應商之間的聯繫,通常會以專業方式撰寫。內含明顯語法或印刷錯誤的電子郵件,可能就是惡意電子郵件的徵兆。
  2. 仔細檢查寄件者的電子郵件地址。判斷電子郵件是否真實最容易的方法,就是檢查寄件者的電子郵件地址。如果它沒有使用寄件者組織的官方網域,或使用了不尋常的電子郵件,那就是警訊了。
  3. 上下文、上下文、上下文。如果電子郵件內容並未提供與討論相關的上下文 (例如只有一行文字),卻仍然包含連結或附件,很有可能就是惡意電子郵件攻擊。
  4. 切勿點擊或下載。即使電子郵件看似一切正常,在驗證來源沒問題之前應秉持審慎原則,先不要點擊任何連結或下載任何檔案。根據以往的經驗,網路罪犯會將遭駭的電子郵件帳戶用於魚叉式網路釣魚。

趨勢科技電子郵件安全解決方案採用機器學習技術

為方便機構保護員工免受網路釣魚和進階電子郵件威脅,建議您使用趨勢科技 Cloud App Security™ 解決方案這類電子郵件防護軟體,這套解決方案採用機器學習(Machine learning,ML)技術,有助於偵測並封鎖垃圾郵件和網路釣魚攻擊。該防護軟體不僅可以偵測郵件內文和附件中的可疑內容,同時也能提供沙箱惡意軟體分析報告,並記錄漏洞攻擊偵測結果。

資料來源: Malicious Spam Campaign Uses ISO Image Files to Deliver LokiBot and NanoCore