《木馬專偷 Word, Excel 文件檔,得手後放雲端》受駭IP 遍佈150 國,含政府、學術界和企業網路

趨勢科技最近看到有惡意軟體會從中毒使用者的電腦裡收集微軟WordExcel文件檔,然後上傳到網路硬碟sendspace.comSendspace是一個網路分享空間,提供了檔案代管功能,讓使用者可以「發送、接收、追蹤和分享你的大檔案。」

Sendspace最近曾被用來存放偷來的資料,但並不是透過惡意軟體自動完成。根據去年底的報告,駭客利用Sendspace來處理跟上傳偷來的資料。 

但這是第一次,趨勢科技看到有惡意軟體會將竊取的資料上傳到檔案代管與傳送網站。 

這次的惡意軟體攻擊是從一個被偵測為TROJ_DOFOIL.GE的檔案 – Fedex_Invoice.exe開始。

 為了要讓使用者受到感染,一個用社交工程陷阱偽裝成聯邦快遞貨運通知的電子郵件大量寄給目標的受害者。

 《木馬偷個資放雲端公共空間》假冒 FedEx快遞通知信內含木馬下載器,竊取受害者Word和Excel文件後上傳至Sendspace ,受駭IP 遍佈150 國,含政府、學術界和企業網路

 一旦執行了這個檔案,TROJ_DOFOIL.GE會下載並執行TSPY_SPCESEND.A。這個下載器同時也會在感染的電腦上安裝其他惡意程式,包括了從BestAV結盟網路來的假防毒軟體變種,和從Yamba網路來的FakeHDD變種。

 另外,這一個木馬下載器還跟TSPY_SPCESEND.A共用相同的C&C伺服器。這也強烈地顯示出,做出文件竊取sendspace木馬的犯罪份子,同時也涉及了按成交計費(Pay-Per-Sell,PPS)的地下經濟。

 TSPY_SPCESEND.A是一個「拿了就走(grab and go)」木馬程式,它會在中毒電腦的本機硬碟裡搜尋微軟Word Excel 文件檔。收集到的檔案會被壓縮起來存放到使用者的暫存資料夾裡,並且利用隨機產生的密碼加密。下圖是一個文件收集壓縮檔的範例:

《木馬偷個資放雲端公共空間》假冒 FedEx快遞通知信內含木馬下載器,竊取受害者Word和Excel文件後上傳至Sendspace ,受駭IP 遍佈150 國,含政府、學術界和企業網路

產生壓縮檔之後,TSPY_SPCESEND.A會將它送到Sendspace.com

 

《木馬偷個資放雲端公共空間》假冒 FedEx快遞通知信內含木馬下載器,竊取受害者Word和Excel文件後上傳至Sendspace ,受駭IP 遍佈150 國,含政府、學術界和企業網路

繼續閱讀