WF曲速未來消息:被垃圾郵件濫用的IQY和PowerShell在日本用BEBLOH和URSNIF感染用戶區(qū)塊鏈
WF曲速未來消息:最近發(fā)現(xiàn)濫用互聯(lián)網(wǎng)查詢文件IQY的現(xiàn)象有所增加,類似于6月份從尼庫爾-分發(fā)的垃圾郵件波,提供了FlawinAmmyy鼠。看來,網(wǎng)絡(luò)犯罪分子正在利用IQY文件的簡單結(jié)構(gòu),因為它們可以用來規(guī)避基于結(jié)構(gòu)的檢測方法。
我們最近的觀察發(fā)現(xiàn)Cutwail僵尸網(wǎng)絡(luò)分發(fā)濫用IQY文件的垃圾郵件。垃圾郵件活動專門針對日本的用戶,提供BEBLOH(Trend Microas檢測到的BEBLOH)。TSPY_BEBLOH.YMNPV)或URSNIF(TSPY_URSNIF.TIBAIDO)惡意軟件。
垃圾郵件試圖欺騙用戶使用傳統(tǒng)的社交工程誘餌點擊附件,例如“支付”、“發(fā)送的照片”、“附加的照片”和“請確認(rèn)”等。該活動于2018年8月6日被發(fā)現(xiàn),并成功分發(fā)了約50萬封垃圾郵件。自8月9日以來,垃圾郵件分發(fā)已經(jīng)停止。
圖1.2018年8月6日至10日檢測到的大量垃圾郵件
圖2.垃圾郵件運動的感染
根據(jù)我們對8月6日檢測到的第一波垃圾郵件的分析,如果用戶打開附加的IQY文件,它將查詢其代碼中指示的URL。Web查詢文件將包含可濫用Excel動態(tài)數(shù)據(jù)交換(DDE)功能的腳本的數(shù)據(jù)從目標(biāo)URL中提取到Excel文件中。這允許執(zhí)行PowerShell進(jìn)程,該進(jìn)程檢查受感染機(jī)器的IP地址是否位于日本。日本IP地址觸發(fā)BEBLOH或URSNIF的最終有效載荷,但如果從另一個國家檢測到IP地址,則不會下載最終有效負(fù)載。
圖3.從8月6日開始的第一波發(fā)行中,垃圾郵件示例
翻譯成中文,主題是“照片附件”,而短信正文上寫著“永遠(yuǎn)感謝你的幫助”。我會把它用XLS版本發(fā)送。請查看附件,謝謝。事先謝謝你。
在8月8日檢測到的第二波垃圾郵件中,用于下載最終有效負(fù)載的PowerShell腳本被混淆了-這是一種常見的方案,用于使安全解決方案難以分析腳本。我們還觀察到,URSNIF已成為有效載荷中唯一的惡意軟件。除了這些變化外,該運動的感染鏈仍與第一波垃圾郵件類似。
圖4.從8月8日開始的第二波垃圾郵件樣本
翻譯成中文,主題是“照片”,而留言體說“謝謝你的幫助”。我會寄一張照片。
圖5.PowerShell腳本的代碼片段
圖6.模糊的PowerShell腳本的代碼片段
BEBLOH與URSNIF
BEBLOH和URSNIF顯著主動2016年在日本。BEBLOH是一種銀行特洛伊木馬,目的是在受害者甚至沒有注意到的情況下從他們的銀行賬戶中偷錢。與此同時,URSNIF被認(rèn)為是一種竊取數(shù)據(jù)的惡意軟件,其行為包括鉤用于瀏覽器監(jiān)視和使用的可執(zhí)行文件簡單檢查躲避沙箱探測等等。
我們對TSPY_BEBLOH.YMNPV(參與此活動的BEBLOH變體)的分析發(fā)現(xiàn),它通過添加注冊表項來修改受感染的系統(tǒng),從而使其能夠在每次系統(tǒng)啟動時自動執(zhí)行。將收集下列數(shù)據(jù):
1)資源管理器文件信息
2)鍵盤布局
3)機(jī)器名稱
4)網(wǎng)絡(luò)配置(IP地址、套接字、端口)
5)OS信息(版本、產(chǎn)品ID、名稱、安裝日期)
6)卷序列號
除了通常的系統(tǒng)修改外,TSPY_URSNIF.IBAIDO還收集以下數(shù)據(jù):
1.捕獲畫面
2.剪貼板日志
3.計算機(jī)名稱
4.曲奇餅
5.數(shù)字證書
6.電子郵件憑證
7.已安裝設(shè)備驅(qū)動程序
8.安裝程序
9.IP地址
10.鍵盤日志
11.運行進(jìn)程和服務(wù)
12.系統(tǒng)信息
WF曲速未來表示:這一版本的URSNIF將被盜的信息保存在文件中,然后上傳,監(jiān)視互聯(lián)網(wǎng)瀏覽活動,掛鉤目標(biāo)進(jìn)程的API,禁用Mozilla Firefox中的協(xié)議,并在虛擬機(jī)或沙箱下運行時終止自身。
本文內(nèi)容由區(qū)塊鏈安全公司W(wǎng)F曲速未來翻譯編排,轉(zhuǎn)載請注明來自WF曲速區(qū)。WF是交易所與超級節(jié)點的安全技術(shù)提供商,為區(qū)塊鏈交易所提供媲美某貓雙十一級別的賬戶安全與交易安全對抗云引擎,現(xiàn)交易所每日安全攻防調(diào)用量達(dá)億級。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
