WF曲速未來消息:被垃圾郵件濫用的IQY和PowerShell在日本用BEBLOH和URSNIF感染用戶區(qū)塊鏈
WF曲速未來消息:最近發(fā)現(xiàn)濫用互聯(lián)網(wǎng)查詢文件IQY的現(xiàn)象有所增加,類似于6月份從尼庫(kù)爾-分發(fā)的垃圾郵件波,提供了FlawinAmmyy鼠。看來,網(wǎng)絡(luò)犯罪分子正在利用IQY文件的簡(jiǎn)單結(jié)構(gòu),因?yàn)樗鼈兛梢杂脕硪?guī)避基于結(jié)構(gòu)的檢測(cè)方法。
我們最近的觀察發(fā)現(xiàn)Cutwail僵尸網(wǎng)絡(luò)分發(fā)濫用IQY文件的垃圾郵件。垃圾郵件活動(dòng)專門針對(duì)日本的用戶,提供BEBLOH(Trend Microas檢測(cè)到的BEBLOH)。TSPY_BEBLOH.YMNPV)或URSNIF(TSPY_URSNIF.TIBAIDO)惡意軟件。
垃圾郵件試圖欺騙用戶使用傳統(tǒng)的社交工程誘餌點(diǎn)擊附件,例如“支付”、“發(fā)送的照片”、“附加的照片”和“請(qǐng)確認(rèn)”等。該活動(dòng)于2018年8月6日被發(fā)現(xiàn),并成功分發(fā)了約50萬封垃圾郵件。自8月9日以來,垃圾郵件分發(fā)已經(jīng)停止。
圖1.2018年8月6日至10日檢測(cè)到的大量垃圾郵件
圖2.垃圾郵件運(yùn)動(dòng)的感染
根據(jù)我們對(duì)8月6日檢測(cè)到的第一波垃圾郵件的分析,如果用戶打開附加的IQY文件,它將查詢其代碼中指示的URL。Web查詢文件將包含可濫用Excel動(dòng)態(tài)數(shù)據(jù)交換(DDE)功能的腳本的數(shù)據(jù)從目標(biāo)URL中提取到Excel文件中。這允許執(zhí)行PowerShell進(jìn)程,該進(jìn)程檢查受感染機(jī)器的IP地址是否位于日本。日本IP地址觸發(fā)BEBLOH或URSNIF的最終有效載荷,但如果從另一個(gè)國(guó)家檢測(cè)到IP地址,則不會(huì)下載最終有效負(fù)載。
圖3.從8月6日開始的第一波發(fā)行中,垃圾郵件示例
翻譯成中文,主題是“照片附件”,而短信正文上寫著“永遠(yuǎn)感謝你的幫助”。我會(huì)把它用XLS版本發(fā)送。請(qǐng)查看附件,謝謝。事先謝謝你。
在8月8日檢測(cè)到的第二波垃圾郵件中,用于下載最終有效負(fù)載的PowerShell腳本被混淆了-這是一種常見的方案,用于使安全解決方案難以分析腳本。我們還觀察到,URSNIF已成為有效載荷中唯一的惡意軟件。除了這些變化外,該運(yùn)動(dòng)的感染鏈仍與第一波垃圾郵件類似。
圖4.從8月8日開始的第二波垃圾郵件樣本
翻譯成中文,主題是“照片”,而留言體說“謝謝你的幫助”。我會(huì)寄一張照片。
圖5.PowerShell腳本的代碼片段
圖6.模糊的PowerShell腳本的代碼片段
BEBLOH與URSNIF
BEBLOH和URSNIF顯著主動(dòng)2016年在日本。BEBLOH是一種銀行特洛伊木馬,目的是在受害者甚至沒有注意到的情況下從他們的銀行賬戶中偷錢。與此同時(shí),URSNIF被認(rèn)為是一種竊取數(shù)據(jù)的惡意軟件,其行為包括鉤用于瀏覽器監(jiān)視和使用的可執(zhí)行文件簡(jiǎn)單檢查躲避沙箱探測(cè)等等。
我們對(duì)TSPY_BEBLOH.YMNPV(參與此活動(dòng)的BEBLOH變體)的分析發(fā)現(xiàn),它通過添加注冊(cè)表項(xiàng)來修改受感染的系統(tǒng),從而使其能夠在每次系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行。將收集下列數(shù)據(jù):
1)資源管理器文件信息
2)鍵盤布局
3)機(jī)器名稱
4)網(wǎng)絡(luò)配置(IP地址、套接字、端口)
5)OS信息(版本、產(chǎn)品ID、名稱、安裝日期)
6)卷序列號(hào)
除了通常的系統(tǒng)修改外,TSPY_URSNIF.IBAIDO還收集以下數(shù)據(jù):
1.捕獲畫面
2.剪貼板日志
3.計(jì)算機(jī)名稱
4.曲奇餅
5.數(shù)字證書
6.電子郵件憑證
7.已安裝設(shè)備驅(qū)動(dòng)程序
8.安裝程序
9.IP地址
10.鍵盤日志
11.運(yùn)行進(jìn)程和服務(wù)
12.系統(tǒng)信息
WF曲速未來表示:這一版本的URSNIF將被盜的信息保存在文件中,然后上傳,監(jiān)視互聯(lián)網(wǎng)瀏覽活動(dòng),掛鉤目標(biāo)進(jìn)程的API,禁用Mozilla Firefox中的協(xié)議,并在虛擬機(jī)或沙箱下運(yùn)行時(shí)終止自身。
本文內(nèi)容由區(qū)塊鏈安全公司W(wǎng)F曲速未來翻譯編排,轉(zhuǎn)載請(qǐng)注明來自WF曲速區(qū)。WF是交易所與超級(jí)節(jié)點(diǎn)的安全技術(shù)提供商,為區(qū)塊鏈交易所提供媲美某貓雙十一級(jí)別的賬戶安全與交易安全對(duì)抗云引擎,現(xiàn)交易所每日安全攻防調(diào)用量達(dá)億級(jí)。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
