點開 Google Docs連結,無檔案病毒偽裝Word、Excel或PDF 藏匿其中

看到標題是「 客戶投訴 」、「 薪資報告 」和「 員工離職列表 」…..等跟你息息相關的信件,請不要一時心急點選信中指向 Google Docs檔案的連結。
即使你很想點開的文件看起來像 Word文件、Excel電子表格或PDF 檔案格式,都不要打開,因為它有可能是執行檔偽裝的! 比如使用 PDF圖示, 隱藏檔案副檔名,讓 Preview.PDF.exe看起變成 Preview.PDF 的PDF檔案格式。

點開 Google Docs連結,無檔案病毒偽裝Word、Excel或PDF 藏匿其中

根據BleepingComputer的報告,有一波新攻擊活動正在散播名為”BazarBackdoor”的新惡意軟體,據稱是由木馬程式TrickBot幕後黑手所製作的無檔案後門程式。會有這結論是因為兩個惡意軟體間有著相似的程式碼、加密工具和基礎設施。

TrickBot木馬程式的幕後黑手在散播無檔案惡意軟體BazarBackdoor


用來散播後門程式的社交工程(social engineering)攻擊,會用各種主題來發送電子郵件,如客戶投訴、新冠狀病毒(COVID-19,俗稱武漢肺炎) 相關訊息 、 薪資報告和員工離職列表。這些訊息會包含指向 Google Docs 檔案的連結。使用者點入連結後會被重新導到登入頁面。這些頁面會秀出Word文件、Excel電子表格或PDF無法被正確顯示。接著指示使用者點入一個連結來打開檔案。

預設隱藏檔案副檔名,誤導Preview.PDF.exe是PDF

點入連結會下載一個執行檔,偽裝自己的圖示和檔名來符合所提到的檔案類型。比方說號稱的客戶投訴文件會變成下載Preview.PDF.exe,它會使用PDF圖示。由於預設會隱藏檔案副檔名,因此會讓人們相信該檔案是個PDF檔。

偽裝的執行檔會被用來載入後門程式。啟動檔案後,載入器會休眠一段時間,然後連到命令和控制(C&C)伺服器來取得並下載惡意內容。接著利用process hollowingprocess doppelgänging注入技術將惡意內容用無檔案技術注入C:\Windows\system32\svchost.exe,將後門程式安裝在電腦上。

同時會設定工作排程,在每次使用者登入Windows時啟動載入器,所以也保留了下載新版本後門程式並注入svchost.exe的可能性。資安研究人員Vitali Kremez和James透露這惡意軟體很可能是由TrickBot木馬程式的幕後黑手所製作。因為兩種惡意軟體都使用相同的加密工具和郵件派送鏈。兩種惡意軟體也都用Emercoin DNS解析服務來進行C&C伺服器通訊。

如何抵禦無檔案病毒?

無檔案威脅隱形且難以偵測,因為它們會利用現有應用程式來滲透和攻擊系統。不過使用者仍可以利用以下最佳實作來防禦這類惡意軟體:

[相關文章:隱蔽的風險:認識無檔案威脅]

  • 防護好可能的進入點
    惡意網站、垃圾郵件和第三方元件(如瀏覽器擴充套件)都可能會帶來無檔案惡意軟體。下載附件檔及其他檔案時要小心,不要點入來自不熟悉來源的連結。
  • 重新啟動裝置並變更密碼
    萬一發生感染,使用者可以重新啟動裝置來停止沒有使用持續性技術的無檔案攻擊。作為進一步的預防措施,使用者還應該變更密碼。
  • 使用行為監控和分析。
    這些技術可以偵測並封鎖惡意軟體相關的惡意行為和後續動作,使得在進一步威脅抵達系統前先加以阻止。
  • 使用資安防護軟體/防毒軟體
    為了進一步保護系統,建議使用以下安全解決方案:
PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用

入侵指標

SHA-256 偵測名稱
11b5adaefd04ffdaceb9539f95647b1f51aec2117d71ece061f15a2621f1ece9  Trojan.Win64.TRICKBOT.CFI
1e123a6c5d65084ca6ea78a26ec4bebcfc4800642fec480d1ceeafb1cacaaa83

Trojan.Win64.TRICKBOT.CFJ
37d713860d529cbe4eab958419ffd7ebb3dc53bb6909f8bd360adaa84700faf2 Trojan.Win64.TRICKBOT.CFL
4e4f9a467dd041e6a76e2ea5d57b28fe5a3267b251055bf2172d9ce38bea6b1f Trojan.Win64.TRICKBOT.CFK
55d95d9486d77df6ac79bb25eb8b8778940bac27021249f779198e05a2e1edae TrojanSpy.Win64.LOKI.A
5a888d05804d06190f7fc408bede9da0423678c8f6eca37ecce83791de4df83d Trojan.Win64.TRICKBOT.CFL
5dbe967bb62ffd60d5410709cb4e102ce8d72299cea16f9e8f80fcf2a1ff8536 TrojanSpy.Win32.TRICKBOT.THAOFBO
6cbf7795618fb5472c5277000d1c1de92b77724d77873b88af3819e431251f00 Trojan.Win32.TRICKBOT.TIGOCBAINS
835edf1ec33ff1436d354aa52e2e180e3e8f7500e9d261d1ff26aa6daddffc55 TrojanSpy.Win64.LOKI.A
859fa9acf0b8a989a1634a1eee309355438b9f6b6f73b69f12d53ac534618c6a Trojan.Win64.TRICKBOT.CFK
a76426e269a2defabcf7aef9486ff521c6110b64952267cfe3b77039d1414a41 Trojan.Win64.TRICKBOT.CFJ
c55f8979995df82555d66f6b197b0fbcb8fe30b431ff9760deae6927a584b9e3 Trojan.Win64.TRICKBOT.CFL
ce478fdbd03573076394ac0275f0f7027f44a62a306e378fe52beb0658d0b273 Trojan.Win64.TRICKBOT.CFM
e90ccb9d51a930f69b78aa0d2612c4af2741311088b9eb7731857579feef89c3 Trojan.Win64.TRICKBOT.CFL

💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂

FBIGYoutubeLINE官網

@原文出處:Group Behind TrickBot Spreads Fileless BazarBackdoor