《木馬專偷 Word, Excel 文件檔,得手後放雲端》受駭IP 遍佈150 國,含政府、學術界和企業網路

趨勢科技最近看到有惡意軟體會從中毒使用者的電腦裡收集微軟Word和Excel文件檔，然後上傳到網路硬碟sendspace.com。Sendspace是一個網路分享空間，提供了檔案代管功能，讓使用者可以「發送、接收、追蹤和分享你的大檔案。」

Sendspace最近曾被用來存放偷來的資料，但並不是透過惡意軟體自動完成。根據去年底的報告，駭客利用Sendspace來處理跟上傳偷來的資料。

但這是第一次，趨勢科技看到有惡意軟體會將竊取的資料上傳到檔案代管與傳送網站。

這次的惡意軟體攻擊是從一個被偵測為TROJ_DOFOIL.GE的檔案 – Fedex_Invoice.exe開始。

為了要讓使用者受到感染，一個用社交工程陷阱偽裝成聯邦快遞貨運通知的電子郵件大量寄給目標的受害者。

一旦執行了這個檔案，TROJ_DOFOIL.GE會下載並執行TSPY_SPCESEND.A。這個下載器同時也會在感染的電腦上安裝其他惡意程式，包括了從BestAV結盟網路來的假防毒軟體變種，和從Yamba網路來的FakeHDD變種。

另外，這一個木馬下載器還跟TSPY_SPCESEND.A共用相同的C&C伺服器。這也強烈地顯示出，做出文件竊取sendspace木馬的犯罪份子，同時也涉及了按成交計費（Pay-Per-Sell，PPS）的地下經濟。

TSPY_SPCESEND.A是一個「拿了就走（grab and go）」木馬程式，它會在中毒電腦的本機硬碟裡搜尋微軟Word 和Excel 文件檔。收集到的檔案會被壓縮起來存放到使用者的暫存資料夾裡，並且利用隨機產生的密碼加密。下圖是一個文件收集壓縮檔的範例：

產生壓縮檔之後，TSPY_SPCESEND.A會將它送到Sendspace.com：

一旦完成上傳，這個惡意軟體會取得Sendspace下載連結，然後將連結連同壓縮時用的密碼傳送到C＆C伺服器。

下面是存放文件收集壓縮檔的Sendspace網頁截圖：

將偷來的資料放到外部檔案存放系統成了新趨勢

惡意軟體會利用免費的線上服務並不是新聞。利用公開的網路空間是犯罪份子存放竊取資料的另一個聰明辦法，因為他們並不需要建一個伺服器來存放大量資料。

趨勢科技指出這個將竊取來的資料送到外部網路或外部檔案存放系統的作法，很可能會快速地成為犯罪分子的新趨勢。我們已經看過許多案例會將竊取的資料放到網路犯罪分子所擁有的網域裡。現在，我們看到了合法的「雲端服務」也被犯罪分子拿來利用，他們可以在那存放和提取他們的戰利品。

另外，這也為安全產業和使用者突顯出一個嚴重的問題。文件竊取和外洩不僅僅發生在目標攻擊裡，也可能發生在大規模的攻擊活動裡。

指揮和控制伺服器

當惡意軟體將含有受害者文件的ZIP壓縮檔上傳到sendspace之後，它會將sendspace下載連結加上獨特的ID、ZIP壓縮檔的密碼和受害者的IP地址傳送給指揮和控制（C＆C）伺服器。

在這篇文章撰寫過程中，趨勢科技看到了至少三個C＆C服務器被這惡意軟體利用：{BLOCKED}28889.ru，{BLOCKED}8483825.ru和{BLOCKED}372721.ru。這三個網域指向IP地址31.184.237.143和31.184.237.142。這些IP地址和其他一批IP地址都在同個網段裡，從2011年七月開始就被記錄曾經放有惡意檔案。這些惡意檔案包括各種殭屍網路/傀儡網路 Botnet路的變種，像是BFBot（Palevo）、NgrBot和IRCBot。

更深入的發掘這個C＆C伺服器的目錄結構之後，發現了一個「開放目錄」，包含了一個記錄以下資訊的日誌檔。

有兩個日誌檔包含相同的資料：log.txt和serialse.txt。唯一不同的是serialse.txt被自動地過濾解析以轉成新格式（似乎是JSON格式）。日誌檔內容是關於受害者和上傳的資料，如下所示：

趨勢科技分析了這日誌檔，發現有18,644個不重複受害者（根據惡意軟體所指派的受害者ID），21,929個不重複IP地址（遍佈150多個國家）和19,695個不重複sendspace網址。

國家	受害者（根據IP）
美國	13,939
英國	1,877
印度	669
加拿大	619
澳洲	568
西班牙	391
中國	304
墨西哥	292
土耳其	206
哥倫比亞	189
德國	178
阿拉伯聯合大公國	139
南非	134
法國	121
荷蘭	120