欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

滥用IQY和PowerShell沾染用户的垃圾邮件运动

de64384a174e12dc2018-08-26102事件

Trend Micro研究职员近期发明滥用IQY(internet query file)文件的进击运动增加,与往年7约检测到的流传FlawedAmmyy RAT的垃圾邮件运动类似。犯罪分子选用IQY文件的缘由多是其简朴的构造能够绕过基于构造的检测要领。

研究职员还发明Cutwail僵尸网络也滥用IQY文件来流传垃圾邮件。该垃圾邮件运动重要针对日本用户,流传的歹意软件有BEBLOH和URSNIF。发送的垃圾邮件运用社会工程技能来实验欺骗用户点击含有“领取”、“照片”、“请确认”等相关内容的附件。研究职员2018年8月6日发明了该运动,并胜利发送约莫50万封垃圾邮件。垃圾邮件从8月9日其逐步削弱。

 1535006478678008.png 滥用IQY和PowerShell沾染用户的垃圾邮件运动  事件 第1张 1535006478678008.png 滥用IQY和PowerShell沾染用户的垃圾邮件运动  事件 第1张

图1. 2018年8月6日到10日检测到的垃圾邮件量

沾染链

 1535006492795732.png 滥用IQY和PowerShell沾染用户的垃圾邮件运动  事件 第3张 1535006492795732.png 滥用IQY和PowerShell沾染用户的垃圾邮件运动  事件 第3张

图2.垃圾邮件沾染

研究职员对8月6日的第一波垃圾邮件停止了剖析,发明若是用户打开了IQY附件,歹意附件就会查询代码中隐蔽的URL。Web查询文件会从目的URL中取回能够滥用Excel DDE特性的剧本文件,并写入Excel文件中。这就开启了PowerShell历程的实行,会搜检受沾染的装备的IP地点是不是位于日本。若是是日本的IP地点,就会触发BEBLOH或URSNIF的final payload,若是不是日本的IP地点,就不会下载payload。

 1535006511211965.png 滥用IQY和PowerShell沾染用户的垃圾邮件运动  事件 第5张 1535006511211965.png 滥用IQY和PowerShell沾染用户的垃圾邮件运动  事件 第5张

图3. 8月6日的第一波垃圾邮件样本

邮件主题为“照片”,邮件注释为“感谢您的资助,我会以XLS版本发送,请查收附件,感谢”。 

研究职员8月8日检测到第二波垃圾邮件,个中用来下载final payload的PowerShell剧本是经由殽杂的,这是一种防备歹意软件剖析职员停止剖析的经常使用手腕。Payload中只要URSNIF歹意软件。除这些变化外,该运动的沾染链与第一波垃圾邮件的沾染链很类似。

 1535006527908356.png 滥用IQY和PowerShell沾染用户的垃圾邮件运动  事件 第7张 1535006527908356.png 滥用IQY和PowerShell沾染用户的垃圾邮件运动  事件 第7张

图4. 8月8日的第二波垃圾邮件样本

邮件主题为“照片”,邮件注释为“感谢您的资助,我会发送一张照片”。

滥用IQY和PowerShell沾染用户的垃圾邮件运动  事件 第9张 滥用IQY和PowerShell沾染用户的垃圾邮件运动  事件 第9张

图5. PowerShell剧本代码段

 滥用IQY和PowerShell沾染用户的垃圾邮件运动  事件 第11张 滥用IQY和PowerShell沾染用户的垃圾邮件运动  事件 第11张

图6. 殽杂的PowerShell剧本代码段

BEBLOH和URSNIF

BEBLOH和URSNIF2016年在日本对照活泼。BEBLOH是一款银行木马,能够在用户绝不知情的情况下从受害者的银行账户中夺取财帛。URSNIF是一款夺取数据的歹意软件,经由过程钩子可实行文件监控阅读器,并运用简朴搜检来绕过沙箱检测。

----------------------------------------------

诚信在线影院【www.m10086.com】【www.m10086.com】

各大视频平台VIP电影、连续剧、综艺、动漫等大片免费观看,无需要注册会员,播放没有任何广告,纯公益平台!

----------------------------------------------

研究职员对BEBLOH样本TSPY_BEBLOH.YMNPV剖析发明,它还经由过程到场注册表来开启主动实行的体式格局修正体系。网络的用户数占有:

  • 资源管理器文件信息

  • 键盘结构

  • 盘算机名

  • 网络设置装备摆设信息

  • 操作体系信息

  • 硬盘序列号

URSNIF样本TSPY_URSNIF.TIBAIDO除对体系停止修正外,还网络以下数据:

  • 截图

  • 剪贴板日记

  • 盘算机名

  • Cookies

  • 数字证书

  • 邮件凭据

  • 装置的装备驱动

  • 装置的顺序

  • IP地点

  • 键盘日记

  • 运转的历程和效劳

  • 体系信息

URSNIF变种会将夺取的信息保存到文件中,然后上传、监控网络阅读运动、检察目的历程API挪用、封闭Firefox中的协定、若是在虚拟机或沙箱中运转还能够中止实行。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/iqy-and-powershell-abused-by-spam-campaign-to-infect-users-in-japan-with-bebloh-and-ursnif/如若转载,请说明原文地点: http://www.4hou.com/info/news/13239.html----------------------------------------------

诚信在线影院【www.m10086.com】【www.m10086.com】

各大视频平台VIP电影、连续剧、综艺、动漫等大片免费观看,无需要注册会员,播放没有任何广告,纯公益平台!

网友评论