恶意垃圾邮件或恶意垃圾邮件被视为攻击者将恶意软件传递给目标受害者的最喜欢的恶意软件传递渠道之一。攻击者还运行垃圾邮件活动,以将其恶意软件分发给大量用户。
为了使攻击者成功,有两点很重要-首先是通过已安装的安全产品的垃圾邮件过滤器,其次,用户应打开附件。为了完成第二项任务,攻击者使用了不同的社交工程策略,使他们的恶意电子邮件看起来尽可能合法,从而诱骗用户打开此类附件。
关于“空白偏向垃圾邮件运动”
自2017年3月以来,我们一直在观察该活动,攻击者使用电子邮件将正文留空,主题行留空或不清楚;因此名称为“空白石板”。我们发现发件人的电子邮件ID被欺骗。用户仅接收带有附件的电子邮件。由于缺少这些字段,除了寻找附件之外,用户无法了解电子邮件的内容。这会诱使用户出于好奇而打开恶意附件,从而触发感染。下图显示了在“空白石板广告系列”中使用的典型垃圾邮件。
Fig 1:空白板岩电子邮件
感染程序:
这些电子邮件活动的附件包含一个嵌套的zip文件-zip文件中的一个zip文件。在第二个zip文件中,放置了实际的恶意软件下载器。目前,我们已经观察到JavaScript(.js)文件或Microsoft Word文档(.doc)文件是通过此垃圾邮件传递的。空白板岩运动遵循以下感染程序。
Fig 2:空白板岩感染程序
在这两种情况下(JavaScript或Word),最终感染都是勒索软件的变体。在某些情况下,也观察到doc文件正试图在MS-Office易受攻击的系统上利用CVE-2017-0199。
空白板交付勒索软件变体
Cerber勒索软件
Blank Slate Campaign于2017年3月首次观察到,并在很长一段时间内进一步用于传播Cerber 勒索软件。此特定活动中使用的垃圾邮件如图1所示。垃圾邮件中的zip附件包含另一个名为“ 45214_ZIP.zip”的zip文件。该文件包含一个名为44582.js的实际恶意软件下载程序。当用户单击此.js文件时,它将自动下载并执行Cerber 勒索软件。该勒索软件是从名称以“ .top”结尾的域中下载的。在过去的两年中,Cerber一直是最主要的勒索软件家族之一。成功加密后,此变体将.aeac扩展名附加到加密文件中。
Fig 3: 带有勒索票据和加密文件的受Cerber感染的系统
还观察到了其他一些垃圾邮件实例,这些文档是在其中传递文档文件的。这些文件试图利用CVE-2017-0199来下载并在受害者计算机上执行恶意软件。
Aleta – BTCWare勒索软件的变体
在2017年7月的最后一周,BTCWare勒索软件的Aleta变体通过Blank Slate Campaign交付。一旦进入计算机,它就会加密其数据并将“ .aleta”附加到加密文件中。我们还观察到Aleta变体使用RDP(远程桌面协议)暴力攻击来感染受害者。在这两种情况下,无论其感染载体的变化如何,其加密活动都保持不变。
Globeimposter 勒索软件还使用了Blank Slate
自上个月以来,Globeimposter 勒索软件一直活跃在野外。它会将不同的扩展名(如.HappyDayzz,.707,.700,.GOTHAM和.crypt)附加到加密文件中。该勒索软件通过恶意垃圾邮件发送给用户。
对于“ .crypt”变体,已经观察到勒索软件是使用Blank Slate Campaign通过嵌套zip文件中包含的.js文件提供的。加密完成后,它将删除以下名称为“!back_files!.html”的勒索记录文件,其中包含有关如何支付赎金以获取解密密钥的说明。.
图4:globimposter赎金注意
序列端点安全检测
序列 Endpoint 安全的电子邮件保护可以在初始级别成功检测并阻止此广告系列。
Fig 5: 序列 Endpoint 安全的电子邮件保护检测到Blank Slate Campaign
通过这些安全提示远离勒索软件
- 不要下载来自垃圾邮件的附件。即使此类电子邮件似乎来自已知来源,也最好先呼叫发件人并先进行验证。
- 如果您收到的电子邮件看起来不清楚或陌生,请不要因为好奇心而变得更好。不要回复电子邮件。
- 定期备份文件。备份外部硬盘驱动器时,请记住断开Internet连接。再次联机之前,请拔下驱动器的电源。市场上有几种免费的付费云备份服务,可以定期进行数据备份。
- 仅在需要时才提供对网络共享的读/写特权。尽量不要保留开放式共享,因为如果存在勒索软件感染,它们很可能成为加密的牺牲品。
- 使用防病毒软件可对感染的电子邮件,恶意网站提供多层保护,并阻止可能通过USB驱动器传播的感染。保持软件为最新。
- 为计算机的操作系统和所有其他程序(如Adobe,Java,Internet浏览器等)应用建议的安全更新。
致谢
主题专家
- Prashil Moon |快速修复安全实验室
没意见