滥用IQY和PowerShell感染用户的垃圾邮件活动

Trend Micro研究人员近期发现滥用IQY（internet query file）文件的攻击活动增多，与今年7约检测到的传播FlawedAmmyy RAT的垃圾邮件活动类似。犯罪分子选用IQY文件的原因可能是其简单的结构可以绕过基于结构的检测方法。

研究人员还发现Cutwail僵尸网络也滥用IQY文件来传播垃圾邮件。该垃圾邮件活动主要针对日本用户，传播的恶意软件有BEBLOH和URSNIF。发送的垃圾邮件使用社会工程技巧来尝试诱骗用户点击含有“支付”、“照片”、“请确认”等相关内容的附件。研究人员2018年8月6日发现了该活动，并成功发送大约50万封垃圾邮件。垃圾邮件从8月9日其逐渐减弱。

图1. 2018年8月6日到10日检测到的垃圾邮件量

感染链

图2.垃圾邮件感染

研究人员对8月6日的第一波垃圾邮件进行了分析，发现如果用户打开了IQY附件，恶意附件就会查询代码中隐藏的URL。Web查询文件会从目标URL中取回可以滥用Excel DDE特征的脚本文件，并写入Excel文件中。这就开启了PowerShell进程的执行，会检查受感染的设备的IP地址是否位于日本。如果是日本的IP地址，就会触发BEBLOH或URSNIF的final payload，如果不是日本的IP地址，就不会下载payload。

图3. 8月6日的第一波垃圾邮件样本

邮件主题为“照片”，邮件正文为“感谢您的帮助，我会以XLS版本发送，请查收附件，谢谢”。 

研究人员8月8日检测到第二波垃圾邮件，其中用来下载final payload的PowerShell脚本是经过混淆的，这是一种防止恶意软件分析人员进行分析的常用手段。Payload中只有URSNIF恶意软件。除了这些变化外，该活动的感染链与第一波垃圾邮件的感染链很相似。

图4. 8月8日的第二波垃圾邮件样本

邮件主题为“照片”，邮件正文为“感谢您的帮助，我会发送一张照片”。

图5. PowerShell脚本代码段

图6. 混淆的PowerShell脚本代码段

BEBLOH和URSNIF

BEBLOH和URSNIF2016年在日本比较活跃。BEBLOH是一款银行木马，可以在用户毫不知情的情况下从受害者的银行账户中窃取钱财。URSNIF是一款窃取数据的恶意软件，通过钩子可执行文件监控浏览器，并使用简单检查来绕过沙箱检测。

研究人员对BEBLOH样本TSPY_BEBLOH.YMNPV分析发现，它还通过加入注册表来开启自动执行的方式修改系统。收集的用户数据有：

• 资源管理器文件信息

• 键盘布局

• 计算机名

• 网络配置信息

• 操作系统信息

• 硬盘序列号

URSNIF样本TSPY_URSNIF.TIBAIDO除了对系统进行修改外，还收集以下数据：

• 截图

• 剪贴板日志

• 计算机名

• Cookies

• 数字证书

• 邮件凭证

• 安装的设备驱动

• 安装的程序

• IP地址

• 键盘日志

• 运行的进程和服务

• 系统信息

URSNIF变种会将窃取的信息保存到文件中，然后上传、监控网络浏览活动、查看目标进程API调用、关闭Firefox中的协议、如果在虚拟机或沙箱中运行还可以中止执行。