滥用IQY和PowerShell感染用户的垃圾邮件活动

ang010ela 事件 2018年8月26日发布

导语:Trend Micro研究人员近期发现滥用IQY(internet query file)文件的攻击活动增多,与今年7约检测到的传播FlawedAmmyy RAT的垃圾邮件活动类似。犯罪分子选用IQY文件的原因可能是其简单的结构可以绕过基于结构的检测方法。

Trend Micro研究人员近期发现滥用IQY(internet query file)文件的攻击活动增多,与今年7约检测到的传播FlawedAmmyy RAT的垃圾邮件活动类似。犯罪分子选用IQY文件的原因可能是其简单的结构可以绕过基于结构的检测方法。

研究人员还发现Cutwail僵尸网络也滥用IQY文件来传播垃圾邮件。该垃圾邮件活动主要针对日本用户,传播的恶意软件有BEBLOH和URSNIF。发送的垃圾邮件使用社会工程技巧来尝试诱骗用户点击含有“支付”、“照片”、“请确认”等相关内容的附件。研究人员2018年8月6日发现了该活动,并成功发送大约50万封垃圾邮件。垃圾邮件从8月9日其逐渐减弱。

 图片.png

图1. 2018年8月6日到10日检测到的垃圾邮件量

感染链

 图片.png

图2.垃圾邮件感染

研究人员对8月6日的第一波垃圾邮件进行了分析,发现如果用户打开了IQY附件,恶意附件就会查询代码中隐藏的URL。Web查询文件会从目标URL中取回可以滥用Excel DDE特征的脚本文件,并写入Excel文件中。这就开启了PowerShell进程的执行,会检查受感染的设备的IP地址是否位于日本。如果是日本的IP地址,就会触发BEBLOH或URSNIF的final payload,如果不是日本的IP地址,就不会下载payload。

 图片.png

图3. 8月6日的第一波垃圾邮件样本

邮件主题为“照片”,邮件正文为“感谢您的帮助,我会以XLS版本发送,请查收附件,谢谢”。 

研究人员8月8日检测到第二波垃圾邮件,其中用来下载final payload的PowerShell脚本是经过混淆的,这是一种防止恶意软件分析人员进行分析的常用手段。Payload中只有URSNIF恶意软件。除了这些变化外,该活动的感染链与第一波垃圾邮件的感染链很相似。

 图片.png

图4. 8月8日的第二波垃圾邮件样本

邮件主题为“照片”,邮件正文为“感谢您的帮助,我会发送一张照片”。

图5. PowerShell脚本代码段

 

图6. 混淆的PowerShell脚本代码段

BEBLOH和URSNIF

BEBLOH和URSNIF2016年在日本比较活跃。BEBLOH是一款银行木马,可以在用户毫不知情的情况下从受害者的银行账户中窃取钱财。URSNIF是一款窃取数据的恶意软件,通过钩子可执行文件监控浏览器,并使用简单检查来绕过沙箱检测。

研究人员对BEBLOH样本TSPY_BEBLOH.YMNPV分析发现,它还通过加入注册表来开启自动执行的方式修改系统。收集的用户数据有:

  • 资源管理器文件信息

  • 键盘布局

  • 计算机名

  • 网络配置信息

  • 操作系统信息

  • 硬盘序列号

URSNIF样本TSPY_URSNIF.TIBAIDO除了对系统进行修改外,还收集以下数据:

  • 截图

  • 剪贴板日志

  • 计算机名

  • Cookies

  • 数字证书

  • 邮件凭证

  • 安装的设备驱动

  • 安装的程序

  • IP地址

  • 键盘日志

  • 运行的进程和服务

  • 系统信息

URSNIF变种会将窃取的信息保存到文件中,然后上传、监控网络浏览活动、查看目标进程API调用、关闭Firefox中的协议、如果在虚拟机或沙箱中运行还可以中止执行。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/iqy-and-powershell-abused-by-spam-campaign-to-infect-users-in-japan-with-bebloh-and-ursnif/如若转载,请注明原文地址: http://www.4hou.com/info/news/13239.html
点赞 6
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论