看到標題是「 客戶投訴 」、「 薪資報告 」和「 員工離職列表 」…..等跟你息息相關的信件,請不要一時心急點選信中指向 Google Docs檔案的連結。
即使你很想點開的文件看起來像 Word文件、Excel電子表格或PDF 檔案格式,都不要打開,因為它有可能是執行檔偽裝的! 比如使用 PDF圖示, 隱藏檔案副檔名,讓 Preview.PDF.exe看起變成是 Preview.PDF 的PDF檔案格式。
根據BleepingComputer的報告,有一波新攻擊活動正在散播名為”BazarBackdoor”的新惡意軟體,據稱是由木馬程式TrickBot幕後黑手所製作的無檔案後門程式。會有這結論是因為兩個惡意軟體間有著相似的程式碼、加密工具和基礎設施。
TrickBot木馬程式的幕後黑手在散播無檔案惡意軟體BazarBackdoor
用來散播後門程式的社交工程(social engineering)攻擊,會用各種主題來發送電子郵件,如客戶投訴、新冠狀病毒(COVID-19,俗稱武漢肺炎) 相關訊息 、 薪資報告和員工離職列表。這些訊息會包含指向 Google Docs 檔案的連結。使用者點入連結後會被重新導到登入頁面。這些頁面會秀出Word文件、Excel電子表格或PDF無法被正確顯示。接著指示使用者點入一個連結來打開檔案。
預設隱藏檔案副檔名,誤導Preview.PDF.exe是PDF檔
點入連結會下載一個執行檔,偽裝自己的圖示和檔名來符合所提到的檔案類型。比方說號稱的客戶投訴文件會變成下載Preview.PDF.exe,它會使用PDF圖示。由於預設會隱藏檔案副檔名,因此會讓人們相信該檔案是個PDF檔。
偽裝的執行檔會被用來載入後門程式。啟動檔案後,載入器會休眠一段時間,然後連到命令和控制(C&C)伺服器來取得並下載惡意內容。接著利用process hollowing和process doppelgänging注入技術將惡意內容用無檔案技術注入C:\Windows\system32\svchost.exe,將後門程式安裝在電腦上。
同時會設定工作排程,在每次使用者登入Windows時啟動載入器,所以也保留了下載新版本後門程式並注入svchost.exe的可能性。資安研究人員Vitali Kremez和James透露這惡意軟體很可能是由TrickBot木馬程式的幕後黑手所製作。因為兩種惡意軟體都使用相同的加密工具和郵件派送鏈。兩種惡意軟體也都用Emercoin DNS解析服務來進行C&C伺服器通訊。
如何抵禦無檔案病毒?
無檔案威脅隱形且難以偵測,因為它們會利用現有應用程式來滲透和攻擊系統。不過使用者仍可以利用以下最佳實作來防禦這類惡意軟體:
[相關文章:隱蔽的風險:認識無檔案威脅]
- 防護好可能的進入點。
惡意網站、垃圾郵件和第三方元件(如瀏覽器擴充套件)都可能會帶來無檔案惡意軟體。下載附件檔及其他檔案時要小心,不要點入來自不熟悉來源的連結。 - 重新啟動裝置並變更密碼。
萬一發生感染,使用者可以重新啟動裝置來停止沒有使用持續性技術的無檔案攻擊。作為進一步的預防措施,使用者還應該變更密碼。 - 使用行為監控和分析。
這些技術可以偵測並封鎖惡意軟體相關的惡意行為和後續動作,使得在進一步威脅抵達系統前先加以阻止。 - 使用資安防護軟體/防毒軟體
為了進一步保護系統,建議使用以下安全解決方案:
- 趨勢科技Apex One™–使用行為分析來保護系統抵禦無檔案威脅相關惡意腳本、注入、勒索病毒、記憶體和瀏覽器攻擊。
- 趨勢科技Apex One Endpoint Sensor–透過端點偵測及回應(EDR)和X偵測及回應(XDR)技術來監控觸發惡意活動的事件和程序。
- 趨勢科技Worry-Free Service–利用行為監控來偵測腳本式無檔案威脅,從而防止惡意軟體進入系統。
入侵指標
| SHA-256 | 偵測名稱 |
| 11b5adaefd04ffdaceb9539f95647b1f51aec2117d71ece061f15a2621f1ece9 | Trojan.Win64.TRICKBOT.CFI |
|
1e123a6c5d65084ca6ea78a26ec4bebcfc4800642fec480d1ceeafb1cacaaa83 | Trojan.Win64.TRICKBOT.CFJ |
| 37d713860d529cbe4eab958419ffd7ebb3dc53bb6909f8bd360adaa84700faf2 | Trojan.Win64.TRICKBOT.CFL |
| 4e4f9a467dd041e6a76e2ea5d57b28fe5a3267b251055bf2172d9ce38bea6b1f | Trojan.Win64.TRICKBOT.CFK |
| 55d95d9486d77df6ac79bb25eb8b8778940bac27021249f779198e05a2e1edae | TrojanSpy.Win64.LOKI.A |
| 5a888d05804d06190f7fc408bede9da0423678c8f6eca37ecce83791de4df83d | Trojan.Win64.TRICKBOT.CFL |
| 5dbe967bb62ffd60d5410709cb4e102ce8d72299cea16f9e8f80fcf2a1ff8536 | TrojanSpy.Win32.TRICKBOT.THAOFBO |
| 6cbf7795618fb5472c5277000d1c1de92b77724d77873b88af3819e431251f00 | Trojan.Win32.TRICKBOT.TIGOCBAINS |
| 835edf1ec33ff1436d354aa52e2e180e3e8f7500e9d261d1ff26aa6daddffc55 | TrojanSpy.Win64.LOKI.A |
| 859fa9acf0b8a989a1634a1eee309355438b9f6b6f73b69f12d53ac534618c6a | Trojan.Win64.TRICKBOT.CFK |
| a76426e269a2defabcf7aef9486ff521c6110b64952267cfe3b77039d1414a41 | Trojan.Win64.TRICKBOT.CFJ |
| c55f8979995df82555d66f6b197b0fbcb8fe30b431ff9760deae6927a584b9e3 | Trojan.Win64.TRICKBOT.CFL |
| ce478fdbd03573076394ac0275f0f7027f44a62a306e378fe52beb0658d0b273 | Trojan.Win64.TRICKBOT.CFM |
| e90ccb9d51a930f69b78aa0d2612c4af2741311088b9eb7731857579feef89c3 | Trojan.Win64.TRICKBOT.CFL |
💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂
