快遞到貨通知,要求確認收據地址,打開ACE檔就中毒

趨勢科技的研究人員偵測到用快遞作幌子的新惡意垃圾郵件活動,這起活動使用ACE檔(趨勢科技偵測為Trojan.Win32.GULOADER.A)作為附件。我們是經由蜜罐系統收集到這些樣本。

一張含有 螢幕擷取畫面 的圖片自動產生的描述

此郵件會偽裝成到貨通知並附上了假收據。然後它會利用要求收件者檢查收據上地址是否正確的方法來誘騙收件者下載附件檔。

一張含有 螢幕擷取畫面 的圖片自動產生的描述
圖1. 利用DHL作主題的垃圾郵件樣本

ACE檔內包含一個zip檔和一個執行檔(解出後執行會成為下載器)。

一張含有 螢幕擷取畫面 的圖片自動產生的描述
圖2. 附件內容

Zip壓縮檔有加上密碼保護,裡面包含另一個執行檔。

一張含有 螢幕擷取畫面, 鳥 的圖片自動產生的描述
圖3. Zip壓縮檔內容

裡面的檔案是個下載器,會連到一個網址來下載後續的檔案,建立開機啟動登錄機碼並用VBS腳本來執行後續檔案。此網址目前並不會下載到檔案。但是這設計使得它仍可能在將來進行真正的攻擊。

圖4. 惡意附件檔內的執行檔

我們也在其他垃圾郵件樣本看到一樣的附件檔。ACE檔是用WinACE製作的壓縮檔,可以用WinACE或BitZipper等工具開啟。

利用快遞做幌子的惡意活動並不少見;我們早期偵測到的這類惡意活動會散播後門程式Emotet木馬程式和其他類型的惡意軟體。有些散播的惡意程式還可能會攔截簡訊

[延伸閱讀]

避免掉入網路釣魚陷阱

網路犯罪分子持續利用社交工程(social engineering )手法(如利用冠狀病毒(COVID-19,俗稱武漢病毒)爆發這類熱門時事或冒充合法機構和商家)來誘騙使用者開啟垃圾郵件、下載惡意附件檔或點入連結。無意間下載了惡意軟體的員工不僅可能危害到自己的電腦,也可能危及整間公司的系統。使用者可以遵循以下最佳實作來避免這些威脅。

入侵指標

檔案名稱 SHA-256 趨勢科技病毒碼偵測
DHL Shipment  Arrival Notification.exe accfdbd1af174d1134015daa4bc39ee1
b5c8b88df4ecee8ea0c9cda660bb18c7
Trojan.Win32.GULOADER.A
DHL Shipment  Arrival Notification.ace 1e6db9987ba9662be6f49c006b042766
f85027266427d6e3b3c62faac310542d
Trojan.Win32.GULOADER.A
DHL Shipment  Arrival Notification.zip

eaa6bbbfd75eab17c2808b0c2dd4a5d5
a5ee473cc7cd5e93ce4302c4f830202d
N/A

@原文出處:Threat Actors Deliver Courier-Themed Spam Campaign with Attached ACE Files

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用

💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂

FBIGYoutubeLINE官網