幾可亂真的UPS包裹遞送通知,夾帶後門

現在大多數的使用者都能夠輕易地偵測垃圾郵件(SPAM),尤其是那些看來像正常通知的垃圾郵件。不過有些看起來很具說服力,這也是為什麼從長遠來看,好的社交工程教育是有好處的。

趨勢科技最近發現一封偽裝來自UPS的電子郵件偽裝成包裹遞送通知,含有連到貨物追蹤網站的連結,以及收據的PDF格式副本。這當然不是我們第一次收到這樣的電子郵件。不過讓這垃圾郵件特別的是它隱藏惡意的方法。

幾可亂真的UPS包裹遞送通知,夾帶後門

在上面的電子郵件截圖可以看出,惡意軟體代管網站連結到一個應該是正常的UPS網址,在那裡可以下載PDF版本的收據。對使用者來說,這網址看起來可能是安全的,不過點下該網址會連到一個惡意ZIP檔案。為了進一步說服使用者它是正常的,寄件者的電子郵件地址偽造成酷似真正的UPS郵件地址。

ZIP檔案內包含一個被趨勢科技偵測為BKDR_VAWTRAK.A的惡意檔案。這後門程式會從好幾個FTP客戶端程式或檔案管理程式內竊取儲存的資訊。此外,BKDR_VAWTRAK.A還會從郵件客戶端程式 – Outlook、PocoMail、IncredMail、Windows Live Mail和The Bat竊取登入憑證。為了避免被偵測,這個後門程式會刪除和軟體限制原則相關的特定註冊碼。

根據趨勢科技的軟體架構總監 – Jon Oliver所說,這次的攻擊數量中等,估計大約佔了每日郵件總量的30到40萬分之一。為了有比較的基準,最近的皇室寶寶垃圾郵件爆發約佔每日郵件總量的200分之一。

這起電子郵件攻擊活動似乎也針對了特定組織,這也再次強調社交工程訓練和如何使其在工作中發揮效用的重要。這包括了「社交」滲透訓練,基本上就是有人扮演成攻擊者,嘗試透過社交工程來吸引員工上鉤。

趨勢科技PC-cillin 2013雲端版可以保護使用者免受此威脅,封鎖所有相關郵件、惡意軟體和網站存取。按這裡可以免費試用下載

 

@原文出處:Convincing UPS Email Scam Delivers Backdoor 作者:Lenart Bermejo(資深威脅反應工程師)

 

2013/07/PCCfans540.gif

還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中

◎ 歡迎加入趨勢科技社群網站