大同QQ企业邮箱，传播金融木马IcedID、Qbot的垃圾邮件攻击再度出现

转达金融木马IcedID、Qbot的剩余邮件侵略再度泛起  邮箱网    1334次浏览  2021年06月28日 星期一 10:18 邮箱网讯 6月28日新闻 卡巴斯基于6月24日，吐露2起他们在3月中旬发现的剩余邮件侵略行动：DotDat与Su妹妹er.gif，这些侵略的专用点，都是运用英文誊写的邮件，并搜罗ZIP缩短文件的附件，概况是下载ZIP文件的衔接，而且，侵略者建议侵略的目的，便是要转达金融木马。其中，大少数的邮件挟带的是IcedID，但卡巴斯基指出，他们看到部份邮件泛起另一种木马QBot（也称QakBot）。 针对于侵略泛起的频率，卡巴斯基指出，他们在侵略*的时期，这些木马挨次的行动，天天会侦测到至少一百次。从地域来看，中国以及印度都是在3月受到IcedID与QBot侵略次数至多的*，而意大利、美国、德国、俄国、法国也都有蒙受至少其中一种木马挨次侵略的灾情。 不论是IcedID仍是QBot，都不是新的恶意挨次家族，但卡巴斯基指出，这两起侵略行动的转达木马挨次本领，他们发现有多处与以往差距。 在DotDat与Su妹妹er.gif两起侵略行动中，*清晰的差距之一便是挟带ZIP文件的方式──前者是搜罗在邮件之中，后者则因此衔接的方式诱使受益者下载。从DotDat的侵略行动中，黑客会在邮件中附上ZIP文件的附件，佯称是一些作废操作或者是索赔申明的质料，但实际上，这个ZIP附件文件内置恶意Excel文件，一旦用户信以为真而掀开，该Excel文件就会启动宏，并开始下载恶意酬载IcedID或者QBot。 这个Excel文件内置的宏，是已经被混合处置的Excel 4.0宏公式，其功能是下载与实施恶意酬载。下载的历程中，该宏会发生URL，并调用Windows API的功能URLDownloadToFile，借由操作零星自己的机制，来实施下载金融木马的使命。 一旦乐成下载恶意挨次，侵略者也并非直接实施木马挨次自己，而是经由EXEC功能与Rundll32来加载。 而另一起侵略行动Su妹妹er.gif里，黑客发送的剩余邮件搜罗了具备恶意缩短文件的网址衔接，这些文件寄存于遭黑的网站，文件称谓为“documents.zip”、“document-XX.zip”，概况“doc-XX.zip”，其中XX代表2个随机的字符。 与DotDat侵略行动相同的是，这些ZIP文件内置带有宏的Excel文件，一旦用户不留意实施这个Excel文件，就会开始下载其余的作案工具。卡巴斯基指出，这个Excel文件内置的宏，也与DotDat所运用的同样为Excel 4.0宏公式，而且滥用Windows操作零星的URLDownloadToFile功能。但不才载作案工详细例主要的差距之处，则是Su妹妹er.gif侵略行动的URL，黑客寄存在恶意Excel文件的存储格概况。 从URL的内容看来，下载的文件称谓是“su妹妹er.gif”，但卡巴斯基指出，这并非是GIF图片文件，而是可实施文件。这个宏触发该文件的方式，则是运用WMI以及regsvr32。 对于Su妹妹er.gif侵略行动爆发的历程，卡巴斯基指出，**是在3月17日，但4月相关侵略则都大张旗鼓。而在这两起侵略行动中，黑客所用来转达恶意软件的本领又更进一步，搜罗冒充作废操作等让受益者会感应压力的内容，诱运用户受骗掀开钓鱼邮件的附件或者是衔接，以及用户受骗之后，Excel宏公式下载恶意挨次的渠道，是经由操作零星的API，当地取材（LoL）而可能患上以绕过杀毒软件的拦阻。如斯刻意规避清静防护机制的做法，近期尚有像是经由冒牌客服的BazaCall，侵略者改以客服向导受益者下载恶意软件的方式，而使患上钓鱼邮件的恶意特色变患上较为难以识别。 标签:剩余邮件木马邮件侵略