夾帶惡意軟體的郵件數量增加了22%,其中40%以上歸因於感染DOWNAD的電腦。雖然DOWNAD蠕蟲在2008年就出現,但它在今日仍是影響企業和中小企業的前三名惡意軟體之一。
我們也看到股票垃圾郵件在過去六個月的飆升。常見檔案儲存平台(如Dropbox)被濫用來放置惡意軟體, 在五月, UPATRE相關垃圾郵件利用了Dropbox連結,不僅是當作社交工程誘餌的一部分,也用來下載惡意檔案。
具有新聞價值的事件、電影和問題仍然是最有效的社交工程(social engineering )誘餌,用來誘騙使用者打開垃圾郵件,慣用手法是截取CNN和BBC的新聞頭條,將這些新聞片段加入垃圾郵件本文,藉著複製新聞的部分文章加上標題來繞過垃圾郵件過濾器。
在今年上半年,垃圾郵件數量相對於去年(2013)上半年成長了60%,趨勢科技將其歸於幾個因素:DOWNAD的普及率以及惡意軟體相關電子郵件加上垃圾郵件發送功能(如MYTOB)。熱門威脅像是UPATRE和Zeus/ZBOT也都利用垃圾郵件作為感染媒介來派送惡意軟體。在我們對2013年垃圾郵件情勢的檢視中,趨勢科技預測垃圾郵件會被繼續用來散播惡意軟體,這點仍然為真。
圖1、2014年第二季的垃圾郵件數量
垃圾郵件攻擊針對德國使用者
趨勢科技所分析的垃圾郵件中,有幾乎83%以上使用英文,還有17%的非英文語言。最常被垃圾郵件使用的非英文語言是德文,其次是日文。我們注意到有德文垃圾郵件夾帶主控台惡意軟體(CPL)。CPL惡意軟體最初是在今年初攻擊了巴西使用者。此外,在2014年第二季後段,我們看到EMOTET的出現,這是一種銀行惡意軟體,可以監聽網路活動來竊取使用者資料。它也同樣是透過主旨為快遞收據和銀行對帳單等電子郵件到達。根據我們的調查,德國的一些銀行被列在此一威脅的監控網站列表中。
圖2、垃圾郵件所使用的前五名語言
引人好奇的圖片和加味垃圾郵件案例
根據趨勢科技的蜜罐(honeypot)來源,前三名垃圾郵件類型為惡意軟體相關(20%),保健相關(16%),以及商業和股票垃圾郵件(11%)。我們也看到股票垃圾郵件在過去六個月的飆升。一個垃圾郵件樣本是關於提供使用者交易技巧來幫助他們快速致富的股票交易垃圾郵件。垃圾郵件技倆方面,我們觀察到之前會加入隨機無意義的文字到HTML中,但如今他們會在郵件本文加入新聞剪輯讓它看似正常以繞過垃圾郵件過濾器。此外,垃圾郵件發送者也結合了不那麼新的技術,像是圖片加入新聞剪輯的垃圾郵件,而非單純圖片。這樣可以避免被垃圾郵件過濾器偵測。
圖3、最常見的垃圾郵件類別
全新和重複使用的垃郵件戰術和伎倆
具有新聞價值的事件、電影和問題仍然是最有效的社交工程(social engineering )誘餌,用來誘騙使用者打開垃圾郵件,進而導致資料和系統資訊被竊。一個透過Asprox殭屍網路散播的惡意軟體 – KULUOZ採用了不同的方法。截取CNN和BBC的新聞頭條,將這些新聞片段加入電子郵件本文中。它們會複製新聞的部分文章加上標題來繞過垃圾郵件過濾器。泰國政變事件是眾多這些圾郵件活動會利用的熱門新聞之一。除了偷取頭條,這KULUOZ垃圾郵件活動也會使用常見的手法,使用快遞通知範本。
另一個趨勢是濫用常見檔案儲存平台(如Dropbox)來放置惡意軟體。在五月, UPATRE相關垃圾郵件利用了Dropbox連結,不僅是當作社交工程誘餌的一部分,也用來下載惡意檔案。當使用者點入該網址,會指向下載UPATRE的Dropbox連結,這是會下載資料竊取程式ZeuS的惡意軟體。UPATRE所下載的ZeuS變種也會下載其他惡意軟體 – NECURS。在我們所收集到的其他樣本裡,Dropbox連結嵌入在郵件本文,但會指向加拿大藥房網站。我們還發現一個垃圾郵件會濫用CUBBY,這是類似Dropbox的另一個檔案代管服務。不過這起垃圾郵件攻擊會導致的是BANKER變種。
垃圾郵件和它對威脅情勢的影響
根據趨勢科技的蜜罐資料,惡意軟體相關的郵件數量增加了22%。在之前的文章裡,我們發現有40%以上的惡意軟體相關垃圾郵件可以歸因於在第二季感染DOWNAD的電腦。雖然DOWNAD或Conficker蠕蟲在2008年就出現,但它在今日仍然非常普遍。事實上,它是影響企業和中小企業的前三名惡意軟體之一。
UPATRE是透過垃圾郵件散播的第一名惡意軟體,接下來是TSPY_ZBOT和BKDR_KULUOZ。UPATRE佔了所有惡意垃圾郵件的33%以上。然而,接近6月時,我們看到與此惡意軟體相關的垃圾郵件活動數量下降了許多。ZeuS是惡意垃圾郵件來源的前幾名,而大多數惡意軟體都透過垃圾郵件散播。
KULUOZ會下載像假防毒軟體和ZACCESS,或將受感染系統變成垃圾郵件發送者的惡意軟體。在四月,KULUOZ也利用了韓國船難的悲慘新聞。
圖4、來自垃圾郵件的前十大惡意軟體
圖5、TROJ_UPATRE對比全部的惡意垃圾郵件
垃圾郵件邁向2014年下半年
垃圾郵件仍然是網路犯罪份子發展其惡意活動的重要武器。我們預測在今年下半年的垃圾郵件數量會繼續增加。一如過去幾年,網路犯罪份子可能會利用即將到來的節日和下一季的事件,繼續對數量成長做出貢獻。
我們也會繼續看到垃圾郵件被作為惡意軟體載體。此外,我們觀察到透過電子郵件散播的新建網域在增加。這可能是因為垃圾郵件發送惡意軟體(如DOWNAD)網域生成演算法的能力。它可以影響垃圾郵件的數量,因為一個網域就已經可以看到許多的垃圾郵件。
@原文出處:1H 2014 Spam Attacks and Trends作者:Maria Manly(垃圾郵件研究工程師)