WF曲速未來消息:被垃圾郵件濫用的IQY和PowerShell在日本用BEBLOH和URSNIF感染用戶區塊鏈
WF曲速未來消息:最近發現濫用互聯網查詢文件IQY的現象有所增加,類似于6月份從尼庫爾-分發的垃圾郵件波,提供了FlawinAmmyy鼠。看來,網絡犯罪分子正在利用IQY文件的簡單結構,因為它們可以用來規避基于結構的檢測方法。
我們最近的觀察發現Cutwail僵尸網絡分發濫用IQY文件的垃圾郵件。垃圾郵件活動專門針對日本的用戶,提供BEBLOH(Trend Microas檢測到的BEBLOH)。TSPY_BEBLOH.YMNPV)或URSNIF(TSPY_URSNIF.TIBAIDO)惡意軟件。
垃圾郵件試圖欺騙用戶使用傳統的社交工程誘餌點擊附件,例如“支付”、“發送的照片”、“附加的照片”和“請確認”等。該活動于2018年8月6日被發現,并成功分發了約50萬封垃圾郵件。自8月9日以來,垃圾郵件分發已經停止。
圖1.2018年8月6日至10日檢測到的大量垃圾郵件
圖2.垃圾郵件運動的感染
根據我們對8月6日檢測到的第一波垃圾郵件的分析,如果用戶打開附加的IQY文件,它將查詢其代碼中指示的URL。Web查詢文件將包含可濫用Excel動態數據交換(DDE)功能的腳本的數據從目標URL中提取到Excel文件中。這允許執行PowerShell進程,該進程檢查受感染機器的IP地址是否位于日本。日本IP地址觸發BEBLOH或URSNIF的最終有效載荷,但如果從另一個國家檢測到IP地址,則不會下載最終有效負載。
圖3.從8月6日開始的第一波發行中,垃圾郵件示例
翻譯成中文,主題是“照片附件”,而短信正文上寫著“永遠感謝你的幫助”。我會把它用XLS版本發送。請查看附件,謝謝。事先謝謝你。
在8月8日檢測到的第二波垃圾郵件中,用于下載最終有效負載的PowerShell腳本被混淆了-這是一種常見的方案,用于使安全解決方案難以分析腳本。我們還觀察到,URSNIF已成為有效載荷中唯一的惡意軟件。除了這些變化外,該運動的感染鏈仍與第一波垃圾郵件類似。
圖4.從8月8日開始的第二波垃圾郵件樣本
翻譯成中文,主題是“照片”,而留言體說“謝謝你的幫助”。我會寄一張照片。
圖5.PowerShell腳本的代碼片段
圖6.模糊的PowerShell腳本的代碼片段
BEBLOH與URSNIF
BEBLOH和URSNIF顯著主動2016年在日本。BEBLOH是一種銀行特洛伊木馬,目的是在受害者甚至沒有注意到的情況下從他們的銀行賬戶中偷錢。與此同時,URSNIF被認為是一種竊取數據的惡意軟件,其行為包括鉤用于瀏覽器監視和使用的可執行文件簡單檢查躲避沙箱探測等等。
我們對TSPY_BEBLOH.YMNPV(參與此活動的BEBLOH變體)的分析發現,它通過添加注冊表項來修改受感染的系統,從而使其能夠在每次系統啟動時自動執行。將收集下列數據:
1)資源管理器文件信息
2)鍵盤布局
3)機器名稱
4)網絡配置(IP地址、套接字、端口)
5)OS信息(版本、產品ID、名稱、安裝日期)
6)卷序列號
除了通常的系統修改外,TSPY_URSNIF.IBAIDO還收集以下數據:
1.捕獲畫面
2.剪貼板日志
3.計算機名稱
4.曲奇餅
5.數字證書
6.電子郵件憑證
7.已安裝設備驅動程序
8.安裝程序
9.IP地址
10.鍵盤日志
11.運行進程和服務
12.系統信息
WF曲速未來表示:這一版本的URSNIF將被盜的信息保存在文件中,然后上傳,監視互聯網瀏覽活動,掛鉤目標進程的API,禁用Mozilla Firefox中的協議,并在虛擬機或沙箱下運行時終止自身。
本文內容由區塊鏈安全公司WF曲速未來翻譯編排,轉載請注明來自WF曲速區。WF是交易所與超級節點的安全技術提供商,為區塊鏈交易所提供媲美某貓雙十一級別的賬戶安全與交易安全對抗云引擎,現交易所每日安全攻防調用量達億級。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
