电子邮件附件是攻击者传播恶意软件的最常用媒介。通过启动垃圾邮件活动,可以将它们同时定位到特定用户或多个用户。
为了成功地执行预期的恶意软件攻击,恶意电子邮件的收件人必须信任电子邮件并执行攻击者希望他执行的操作。为了实现这一目标,恶意软件作者不断采用新策略,使他们的恶意电子邮件看起来尽可能合法。
Quick Heal 安全 Labs最近观察到一个新的恶意垃圾邮件活动,该活动正在传播SmokeLoader恶意软件。 SmokeLoader是一种Trojan下载程序恶意软件,以在受感染的计算机上下载和安装其他恶意软件而闻名。
感染常规
此广告系列中的攻击始于伪装成“网站工作应用程序”的垃圾邮件。该电子邮件包含受密码保护的zip文件。垃圾邮件本身中提供了打开zip文件的密码。此技巧使攻击者具有以下优点:
- 电子邮件对于目标用户而言看起来更合法
- 电子邮件保护安全模块很难扫描受密码保护的zip文件中的文件。
下面的图1显示了此活动中使用的电子邮件示例。
图1.带有恶意附件的电子邮件
如图1所示,该电子邮件伪装为求职电子邮件,其中包含zip文件中的简历。该邮政编码受密码保护。下载此zip文件后,它会要求输入密码(12345),该密码已在电子邮件正文中提供。成功提取后,将获得“ resume.doc”文件。此文档是带恶意的宏标记Word文档。如果用户尝试运行此doc文件以查看内容,则要求用户通过单击 启用内容 按钮,如图2所示。
图2.要求启用宏的Doc文件
当用户通过点击“启用内容”,在后台执行恶意宏,该宏进一步启动PowerShell,以请求远程托管文件,该文件在用户系统上下载并启动恶意有效负载。
下面的图3显示了doc文件中包含的恶意宏代码。
图3. doc文件中的恶意宏代码
上面提到的代码启动带有恶意参数的PowerShell,如图4所示。
图4.使用恶意参数执行PowerShell
如果仔细观察,该恶意文件将作为poop.jpg文件托管在攻击者的服务器上,该文件实际上是可执行的SmokeLoader恶意软件。该文件以名称删除 DKSPKD.exe 在%Temp%的位置,并开始执行恶意活动。
在分析此骗局活动期间观察到的一些重要活动如下:
- 仅在Microsoft Windows 8及更高版本的平台上成功生成了恶意软件情况。
- 在执行过程中,恶意软件会杀死与恶意软件分析工具和调试器相关的所有进程。
- 成功执行后,SmokeLoader可以在受感染的系统上下载其他恶意软件组件。
序列检测
序列 Browser Protection成功阻止了用于下载有效内容的恶意URL。
图5:Seqrite浏览保护警报
序列 Virus Protection成功检测并阻止了负责将有效载荷传递到系统中的恶意文档文件。
图6. doc文件的Seqrite Virus Protection警报
序列 Virus Protection还可以检测并阻止恶意的SmokeLoader有效负载。
图7.恶意负载的Seqrite Virus Protection警报
防范此类恶意软件攻击的最佳做法
- 不要下载附件,也不要单击从不需要或意外的电子邮件来源收到的链接。
- 当心要求您启用“宏”来查看内容的电子邮件。
- 保持你的 防毒软件 已更新,并确保您使用的是最新版本。
- 始终保持重要数据的安全备份。
- 在您的操作系统和程序(如Adobe,Java,Internet浏览器等)上应用所有建议的更新。
- 确保您的计算机的自动更新已启用。
主题专家:
Gulamgaus Shaikh,普拉希尔(Prashil Moon)|快速修复安全实验室
没意见