HawkEye Reborn v8.0 和 v9.0 是該知名鍵盤側錄惡意程式家族最新的兩個版本,目前已出現 在一些專門攻擊企業使用者的垃圾郵件當中。IBM X-Force 研究人員發現了一些攻擊案例使用該鍵盤側錄惡意程式變種來竊取帳號登入憑證與敏感資料,而這些資料又進一步被用於其他攻擊,如:盜用帳號或變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise簡稱 BEC)。除了竊取上述資訊之外,該程式還可能下載更多其他惡意程式變種至被感染的電腦。
過去,趨勢科技也曾經發現過類似的攻擊案例。趨勢科技研究人員曾在一項深度研究中發現,歹徒會利用鍵盤側錄惡意程式來找尋更大的攻擊目標,蒐集更多有關受害者的資訊 (如業務聯絡人、同事、合作夥伴等等) 以從事詐騙。在詐騙過程中,歹徒會持續監控受害使用者的公司電子郵件帳號,一旦發現有關交易付款事宜的郵件,就會從中加以攔截,提供另一個收款帳戶給付款方,好讓交易的款項直接匯入歹徒的銀行帳戶。
繼續閱讀曾由趨勢科技在 2014 年所發現的「Emotet」銀行木馬程式,去年已經正起死回生,並推出自家的垃圾郵件模組來散布該程式,開始攻擊一些新的產業和地區,甚至能躲避沙盒模擬與惡意程式分析技巧。今年,我們進一步分析了 Emotet 的活動來了解這個模組化惡意程式的惡意行為。我們針對 Emotet 的相關威脅樣本進行了一番徹底的研究,包括 2018 年 6 月 1 日至 11 月 15 日這段期間所蒐集到的相關威脅樣本:8,528 個非重複網址、5,849 個文件植入程式以及 571 個執行檔,並發現了 Emotet 的幕後基礎架構以及可能的犯罪集團資訊。
》 延伸閱讀: 假冒銀行轉帳通知耍詐!!銀行惡意軟體會利用網路監聽來竊取資料
以下是幾項重要的研發現:
隨著網路資安廠商的防禦能力不斷提升,網路犯罪集團也開始在惡意程式上推出新的花招來因應。最近趨勢科技發現了一些經由垃圾郵件散布的新威脅被包裝在老舊且少用的檔案類型當中。垃圾郵件目前依然是網路犯罪集團最愛的散播途徑之一,垃圾郵件攻擊儘管老派,卻占了全球電子郵件流通數量的 48% 以上。
趨勢科技在 2017 年資安總評報告當中指出,垃圾郵件當中最常出現的惡意附件檔案類型為:.XLS、.PDF、.JS、.VBS、.DOCX、.DOC、.WSF、.XLSX、.EXE 及 .HTML。除此之外,我們也在今年八月發現了會散布 GandCrab v4.3 勒索病毒的 .EGG 檔案。不過,網路犯罪集團仍在不斷翻新其使用的檔案類型。以下說明網路犯罪集團如何利用一些舊的檔案類型來包裝新的威脅,證明他們隨時都在實驗新的技巧以躲避垃圾郵件過濾機制。
ARJ 是「Archived by Robert Jung」的簡寫,這是一個 90 年代出現的檔案壓縮軟體,.ARJ 檔案的用途與 .ZIP 類似,只不過沒有後者那麼流行。儘管 .ARJ 檔案從 2014 年起即成為歹徒散布惡意檔案的格式之一,但我們最近發現使用 .ARJ 格式來散布惡意檔案的情況突然暴增。趨勢科技 Smart Protection Network™ 情報網最近已偵測到將近 7,000 個採用 ARJ 來壓縮的惡意檔案。
圖 1:隨附惡意 .ARJ 壓縮檔案的垃圾郵件攻擊過程。 繼續閱讀
趨勢科技發現一波垃圾郵件攻擊,使用 BEBLOH 金融木馬程式來鎖定使用者,我們偵測到的 185,902 封垃圾郵件,其中超過 90% 的目標是日語使用者。這次攻擊行動似乎是從 Cutwail 殭屍網站發動,非常類似於近期的垃圾郵件攻擊中,濫用網際網路查詢檔案 (IQY) 和 PowerShell 來散布 BEBLOH 和 URSNIF 金融惡意軟體的情況。
我們分析部分垃圾郵件後發現,BEBLOH 會從命令及控制 (C&C) 伺服器擷取 URSNIF 惡意軟體。先前的垃圾郵件攻擊行動顯示,同時散布 BEBLOH 和 URSNIF 是常見的手法。據 Crowdstrike 報導,這次攻擊行動是由 NARWHAL SPIDER 發動,使用了圖像隱碼術,把惡意代碼隱藏在意想不到的圖像媒體中,藉此躲避特徵碼比對偵測。
【延伸閱讀 】:圖像隱碼術(Steganography)與惡意程式:原理和方法
圖 1:垃圾郵件攻擊行動感染鏈
儘管社群媒體和即時通變得越來越普及,但電子郵件仍是企業重要的溝通工具。不幸的是,電子郵件的廣泛使用也讓它成為網路犯罪的理想平台。在本篇文章中將會介紹四種電子郵件威脅垃圾郵件、網路釣魚(Phishing)、詐騙郵件和變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱BEC)。
儘管有許多方法可以過濾掉這些不想要的電子郵件,但垃圾郵件仍舊讓企業吃了不少苦頭。雖然一般都只將將垃圾郵件視為擾人的事情,但真正危險的是透過垃圾郵件散播的惡意軟體。在2016年,有71%的勒索病毒Ransomware (勒索軟體/綁架病毒)透過垃圾郵件傳播,讓電子郵件成為最常見的攻擊媒介。與網路釣魚郵件一樣,垃圾郵件也可以偽裝成像從銀行或網路商家等合法來源寄出,增加無辜使用者下載可疑檔案的機會。Cerber、Petya和Locky等勒索病毒攻擊事件也顯示出惡意垃圾郵件攻擊的規模可以發展得有多大。
快速提示:網路管理員應確保正確地設定垃圾郵件過濾器,包括政策管理和威脅偵測等級設定。此外,全面性的電子郵件安全閘道需要具備網頁信譽評比追踪、文件漏洞攻擊偵測和客製化威脅情報等功能,能夠在針對性攻擊到達使用者之前先加以封鎖。
網路釣魚是種利用操縱心理手法來誘使收件者洩露敏感資訊的電子郵件威脅,駭客再將這些敏感資料拿去販賣或用在其他惡意用途。網路釣魚攻擊通常會使用以假亂真的寄件者加上社交工程(social engineering )過的郵件內容,讓缺乏這類詐騙意識的一般使用者很難加以分辨。網路釣魚郵件還可能夾帶了惡意軟體附件檔、詐騙網站連結或是兩者都有。
魚叉式釣魚(spear phishing)是一種更加針對性的網路釣魚攻擊,它會針對特定個人或組織進行高度客製化的攻擊。在此類攻擊中,駭客通常會對目標受害者進行廣泛的研究,以求製作的電子郵件看起來更像真的。雖然一般使用者常常成為魚叉式釣魚攻擊的目標,但大型企業也會成為駭客的目標,如2016年的「Pawn Storm行動」。
快速提示:網路犯罪分子會利用各種社交工程(social engineering)來迫使目標受害者下載檔案或給出敏感資訊,因此教育員工如何防範網路釣魚攻擊非常重要。如果企業的安全軟體整合了網路釣魚防護功能,則應該啟用並正確地設定。