亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

新的垃圾郵件活動(dòng)濫用SettingContent-ms文件傳播FlawedAmmy RAT

責(zé)編:gltian |2018-08-03 13:38:19

趨勢(shì)科技最近檢測(cè)到了一場(chǎng)目的在于傳播FlawedAmmy RAT(遠(yuǎn)程訪問(wèn)木馬)的垃圾郵件運(yùn)動(dòng),而這個(gè)RAT之前被Necurs僵尸網(wǎng)絡(luò)作為其最終有效載荷安裝在與銀行和POS相關(guān)的用戶域下的bot(“肉雞”)上。

除此之外,這個(gè)垃圾郵件活動(dòng)還被發(fā)現(xiàn)濫用了SettingContent-ms——一個(gè)主要用于創(chuàng)建Windows設(shè)置頁(yè)面快捷方式的XML文件。惡意SettingContent-ms文件被發(fā)現(xiàn)嵌入在一個(gè)PDF文檔中,用于釋放前面提到的RAT。

圖1.7月12日和13日的垃圾郵件數(shù)量

根據(jù)我們對(duì)7月12日和13日發(fā)送的垃圾郵件的研究和分析,在收到這些垃圾郵件的電子郵件帳戶中,有超過(guò)50%屬于位于馬來(lái)西亞、印度尼西亞、肯尼亞、羅馬尼亞、波蘭和奧地利等國(guó)家的銀行。

 

感染鏈?

圖2.垃圾郵件活動(dòng)的感染鏈

垃圾郵件使用諸如“發(fā)票(invoice)”或“重要公告(important announcement)”、“副本(copy)”、“掃描圖像(Scanned image)”、“安全公告(security bulletin)”和“這是什么(whats this)”這樣的主題來(lái)欺騙收件人。

上述郵件中附帶的PDF文件包含有嵌入的JavaScript代碼和一個(gè)“downl.SettingContent-ms”文件,類(lèi)似于ProofPoint報(bào)告中所描述的內(nèi)容。一旦用戶打開(kāi)了PDF文件,JavaScript代碼將自動(dòng)觸發(fā),以打開(kāi)SettingContent-ms文件。

一旦“downl.SettingContent-ms”文件被打開(kāi),Windows將在<DeepLink>標(biāo)簽內(nèi)運(yùn)行PowerShell命令,該命令將在執(zhí)行之前從hxxp://169[.]239[.]129[.]117/cal下載FlawedAmmyy RAT。

圖3.垃圾郵件樣本,PDF附件包含嵌入的JavaScript代碼和SettingContent-ms文件

圖4. 嵌入的JavaScript代碼,在打開(kāi)PDF之后將自動(dòng)觸發(fā)

圖5. 由JavaScript代碼打開(kāi)的“downl.SettingContent-ms”文件

圖6.用于打開(kāi)“downl.SettingContent-ms”文件的JavaScript代碼

圖7. 嵌入的JavaScript代碼在打開(kāi)PDF之后,將打開(kāi)“downl.SettingContent-ms”文件

圖8. “downl.SettingContent-ms”文件的內(nèi)容,其中包含用于下載FlawedAmmyy RAT的PowerShell命令

 

垃圾郵件活動(dòng)與Necurs僵尸網(wǎng)絡(luò)的關(guān)聯(lián)

最近,Necurs僵尸網(wǎng)絡(luò)一直對(duì)具有特定特征的bot(“肉雞”)表現(xiàn)出興趣。在7月12日,Necurs將向它的bot(“肉雞”)推送了一個(gè)模塊——一個(gè)FlawedAmmyy RAT的下載程序(downloader)。該模塊會(huì)檢查域名是否包含以下任意關(guān)鍵字:bank、banc、aloha、aldelo和postilion(如圖10所示)。其中,Aloha是一個(gè)餐廳POS系統(tǒng),Aldelo是一個(gè)iPad POS系統(tǒng),而Postilion是一個(gè)解決方案,可以通過(guò)各種渠道獲取付款或交易,從ATM、POS到電子商務(wù)和移動(dòng)設(shè)備。如果bot(“肉雞”)的用戶域符合Necurs的要求,它將從hxxp://169[.]239[.]129[.]117/Yjdfel765Hs下載并執(zhí)行最終的有效載荷。

 

IoCs

IoC IoC類(lèi)型 描述
5181ede149a8cd560e9e0958be51ec069b486c87
14efc02509ab12eee08183a8		 SHA256 用于檢查bot(“肉雞”)是否與銀行或POS相關(guān)的Necurs模塊
576a373ccb9b62c3c934abfe1573a87759a2bfe26
6477155e0e59f336cc28ab4		 SHA256 7月12日和13日在垃圾郵件活動(dòng)中使用的PDF
42ded82ef563db3b35aa797b7befd1a19ec92595
2f78f076db809aa8558b2e57		 SHA256 在7月12日被Necurs模塊和垃圾郵件活動(dòng)釋放的FlawedAmmyy RAT
185[.]99[.]132[.]119:443 IP + Port FlawedAmmyy RAT的C&C
hxxp://169[.]239[.]129[.]117/Yjdfel765Hs URL 在Necurs模塊中用于下載FlawedAmmyy RAT的URL
hxxp://169[.]239[.]129[.]117/cal URL 包含在PDF文件中嵌入的SettingContent-ms文件中的用于下載FlawedAmmyy RAT的URL
原文:https://blog.trendmicro.com/trendlabs-security-intelligence/spam-campaign-abusing-settingcontent-ms-found-dropping-same-flawedammy-rat-distributed-by-necurs/

上一篇:五角大樓對(duì)俄、中說(shuō)“不”,擬定軟件禁購(gòu)公司列表

下一篇:在加密貨幣領(lǐng)域,信任的代價(jià)是慘痛的