在过去的几周中,我们一直在观察一种新的恶意垃圾邮件(malspam)变种,该变种通过一封声称来自联合包裹运送服务(UPS)邮件的电子邮件进行传播。该电子邮件带有zip附件,其中包含NemucodAES 勒索软件和无文件的Kovter Trojan。
早些时候,此类恶意垃圾邮件活动提供了Cerber 勒索软件和Kovter Trojan。
攻击方法
第1步 – 用户收到带有包含Javascript文件的恶意zip的垃圾邮件。
在该广告系列中发送的垃圾邮件通常包含以下主题行和附件名称,以诱骗用户打开电子邮件。
| 主题行 | 附件名称 |
| ***受感染***商品交付问题n.004640147 | UPS-Package-004640147.zip |
| ***受感染***商品交付问题n.001656569 | UPS-Label-001656569.zip |
| 包裹ID004692898送货问题,请检查 | UPS-Receipt-004692898.zip |
| 我们无法交付您的包裹#004522553 | UPS-Delivery-004522553.zip |
| 我们的UPS快递无法与您联系(包裹#008284689) | UPS包裹ID-008284689.zip |
| 您的交货通知状态(UPS 5952930) | UPS-Delivery-Details-5952930.zip |
| 您的交货通知状态(UPS 001387092) | UPS-Package-001387092.zip |
第2步 – JavaScript执行
JavaScript文件具有一个长变量,用于从受感染的网站下载“ counter.js”文件。此“ counter.js”负责切换到嵌入式PHP并下载其PHP解释器文件,这些文件又负责加密。
执行后,文件被加密,没有任何扩展名或名称更改。对于加密,使用ECB模式下的AES-128和RSA加密算法的组合,以使文件解密更加困难。
加密后,将显示以下赎金记录。
用户计算机与Nemucod 勒索软件一起感染了Kovter无文件恶意软件。 Kovter隐藏在Windows注册表中,该注册表用于在网络广告中产生欺诈性点击以为攻击者赚钱的活动中。
序列如何提供帮助
1. 序列端点安全 邮件保护 成功地阻止了此类恶意附件,甚至在它们感染系统之前也是如此。
2. 序列 Endpoint 安全病毒防护检测并删除攻击中使用的恶意脚本文件。
3.下图显示了我们从1收到的垃圾邮件的趋势 圣 to 16 日 2017年7月。
安全提示
- 不要单击意外收到或未知电子邮件中的链接或打开附件
- 请勿打开带有双扩展名的文件(例如doc.js,wsf.js等)
- 避免点击弹出广告,尤其是那些谈论令人难以置信的报价的弹出广告
- 避免访问人气较低的网站
- 保持计算机的操作系统和软件(例如Adobe,Java,Internet浏览器等)的修补程序和最新状态
致谢
- 主题专家
Swati Gaikwad的Prashant Tilekar |快速修复安全实验室
没意见