俄罗斯遭遇新一波勒索软件垃圾邮件

TRex Web安全 2019年1月31日发布
Favorite收藏

导语:2019年1月ESET研究人员发现大量针对俄罗斯用户的传播勒索软件的垃圾邮件。

在2019年1月观察到的恶意JavaScript电子邮件附件数量增加之中,ESET研究人员发现大量针对俄罗斯用户的传播勒索软件的垃圾邮件。

2019年1月,恶意JavaScript电子邮件附件的检测率急剧上升,这是一种在2018年大多数时间处于休眠状态的攻击媒介。在依赖此向量的恶意垃圾邮件活动的“新年版”中,我们发现了一波新的俄语垃圾邮件,分发名为Shade或Troldesh的勒索软件,ESET检测为Win32/Filecoder.Shade。

该攻击行动是2018年10月开始分发Shade勒索软件的恶意垃圾邮件活动的后续。

一、2019年1月行动

我们的遥测显示2018年10月的攻击活动一直持续到2018年12月下旬,在圣诞节期间休息,然后在2019年1月中旬恢复且规模翻番,如图1所示。图中的下降点与周末一致,这表明攻击者热衷于欢公司的电子邮件地址。

图1  – 自2018年10月以来检测传播Win32/Filecoder.Shade的恶意JavaScript附件

如前所述,此行动是我们从2019年初开始观察到的一个更大趋势的一部分 – 恶意JavaScript附件作为一种广泛使用的攻击媒介的回归。图2显示了我们遥测中看到的发展趋势。

图2  – 在过去的一年中检测到通过电子邮件附件分发的恶意JavaScript,所有这些都被检测为JS/Danger.ScriptAttachment

特别值得注意的是,2019年1月传播Shade勒索软件的活动在俄罗斯最为活跃,占这些恶意JavaScript附件总数的52%。其他受影响的国家是乌克兰、法国、德国和日本,如图3所示。

图3  –  2019年1月1日到2019年1月24日期间传播Win32 / Filecoder.Shade的恶意JavaScript附件的分布(ESET检测)

根据我们的分析,2019年1月行动中的典型攻击始于发送一封用俄语写的电子邮件,附件是一份名为“info.zip”或“inf.zip”的ZIP包。

这些恶意电子邮件为订单更新,看起来是来自合法的俄罗斯组织。我们看到的电子邮件冒充俄罗斯银行B&N Bank(注:最近与Otkritie Bank合并)和零售连锁店Magnit。在ESET系统检测到的其中一封电子邮件中,翻译为:

主题:订单详情

你好!

我正在向您发送订单的详细信息。文件见附件。

Denis Kudrashev,经理

图4  –  2019年1月攻击中使用的垃圾邮件示例

ZIP存档包含名为“Информация.js”的JavaScript文件(即“信息”)。一旦提取并启动,JavaScript文件就会下载恶意加载程序,ESET产品检测为Win32/Injector。恶意加载程序解密并启动最终的有效载荷—Shade勒索软件。

恶意加载器从被感染的合法WordPress站点下载伪装成图像文件。为感染WordPress页面,攻击者使用自动机器人进行的大规模密码暴力攻击。我们的遥测数据显示了数百个这样的URL,所有这些URL都以字符串“ssj.jpg”结尾,托管恶意加载器。

加载程序使用声称由Comodo发布的无效数字证书进行签名,如图5所示。“签名者信息”中的名称和时间戳对于每个样本都是唯一的。

图5  – 恶意加载器使用的假数字签名

除此之外,加载器试图通过伪装成合法的系统进程Client Server Runtime Process(csrss.exe)来进一步伪装自己。它将自身复制到C:\ProgramData\Windows\csrss.exe,其中“Windows”是由恶意软件创建的隐藏文件夹,通常不在ProgramData中。

图6  – 恶意软件冒充系统进程并使用从合法Windows Server 2012 R2二进制文件复制的版本详细信息

二、Shade勒索软件

此恶意行动的最终载荷是加密勒索软件,称为Shade或Troldesh。 2014年末首次出现,但经常重新改进,勒索软件加密本地驱动器上的多种文件类型。在最近的行动中,勒索软件将扩展名.crypted000007附加到加密文件中。

赎金说明以TXT文件(俄语和英语)呈现给受害者,该文件被释放到受影响计算机上的所有驱动器。赎金票据的措辞与先前报道的2018年10月攻击活动的措辞相同。

图7  –  2019年1月的Shade勒索软件赎金条

三、如何保持安全

为避免成为恶意垃圾邮件的受害者,请在打开任何附件或点击链接之前始终验证电子邮件的真实性。如有必要,请与使用其官方网站上提供的联系方式发送电子邮件的机构联系。

对于Gmail用户,了解Gmail近两年来一直在阻止接收和发送的电子邮件中的JavaScript附件可能会很有用。

其他电子邮件服务的用户(包括公司邮件服务器)必须依赖他们的意识 – 除非他们使用一些能够检测和阻止恶意JavaScript文件的安全解决方案。

ESET安全产品中的几个不同模块可独立检测和阻止恶意JavaScript文件。

为避免WordPress网站遭到入侵,请使用强密码和双因素身份验证,并确保定期更新WordPress本身以及WordPress插件和主题。

IoCs

恶意ZIP附件的示例哈希值

ESET 检测名: JS/Danger.ScriptAttachment

1.png

JavaScript下载程序的示例哈希

ESET检测名: Win32/Injector

2.png

Shade勒索软件的示例哈希值

ESET检测名: Win32/Filecoder.Shade

3.png

托管Shade勒索软件的URL中的特定字符串

4.png

本文翻译自:https://www.welivesecurity.com/2019/01/28/russia-hit-new-wave-ransomware-spam/如若转载,请注明原文地址: http://www.4hou.com/web/15974.html
点赞 4
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论