垃圾邮件用.EGG文件传播GandCrab v4.3勒索软件

ang010ela 勒索软件 2018年9月4日发布
Favorite收藏

导语:Trend Micro研究人员发现攻击者滥用EGG (.egg)文件来传播GandCrab v4.3勒索软件的活动。

Trend Micro研究人员发现攻击者滥用EGG (.egg)文件来传播GandCrab v4.3勒索软件的活动。EGG是一种与zip类似的压缩文件格式,大多数国家是不常用.EGG文件格式的,而在韩国EGG文件是广泛应用的。垃圾邮件活动背后的运营者主要攻击的区域也是韩国用户,因为垃圾邮件的主题、主体和附件名都使用了Hangul(一款由韩软公司Hansoft开发,在韩国人人皆知,人人必备的一款Office软件)。

图1. 攻击活动中的垃圾邮件样本,邮件主题为英文“[Fair Trade Commission] Notice of Investigation of Violation of E-Commerce Transaction”

垃圾邮件伪装成违反电子交易的调查。邮件主题摘要为不公平电子交易通知已经发送给总部。同时,附件中的EGG文件为Notification of e-commerce violation,EGG格式的文件可以用ALZip文件解压缩。

感染链

研究人员2018年8月7日发现了这些垃圾邮件。通过分析样本发现,附件EGG文件含有三个文件,2个.lnk快捷方式文件和一个exe文件,lnk文件会伪装成文档,而exe文件会在用户解压缩EGG文件后会自动删除。在lnk文件中插入了VenusLocker_korean.exe文件,也就是说VenusLocker组织是该垃圾邮件活动背后的传播者。

图2. EGG文件内容

如果用户被诱骗解压EGG文件,并随后打开两个伪装为doc文件的lnk文件。然后执行lnk中隐藏的GandCrab恶意软件。连接到C2服务器后,GandCrab v4.3勒索软件会加密被感染的机器中的文件。

图3. 感染链

图4. GandCrab v4.3勒索信息

Trend Micro数据表明GandCrab是2018年3月到7月逐渐检测数量最多的勒索软件家族。用户和企业会采纳最佳实践来消除感染这些主流勒索软件的风险。

如果用户需要恢复加密的文件,而且不能访问安全备份,那么用户就会被迫使访问支付勒索赎金的网站,并支付赎金给勒索者。

Trend Micro分析,GandCrab勒索软件攻击活动背后的攻击者的目标好像就是韩国用户,因为如果在韩国收到EGG附件,用户可能毫不犹豫就打开了,而在其他国家收到这样的附件,用户可能就不会打开了。

IoCs

LNK_GANDCRAB.E (SHA256: 9d932a98c37b9a5454d3ba32596ef0292f55d3f7b3f9831a39df526ad1e686aa)

Ransom_GANDCRAB.TIAOBHO (SHA256: 8163602357b51402b8e34b385b0228ac4a603e19c6c8006e1c7a7a8099450742)

TROJ_GANDCRAB.TICABAK (SHA256: f6013b930287d6fdb7d1d403396e4362e34a8d70192ba97b1f35ad97f99552c0)

本文翻译自:https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/-egg-files-in-spam-delivers-gandcrab-v4-3-ransomware-to-south-korean-users 如若转载,请注明原文地址: http://www.4hou.com/typ/13193.html
点赞 4
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论