------------恢復內容開始------------
------------恢復內容開始------------
引語:為了確保網路安全,每個人都需要識別出那些經常被用來傳播惡意軟體的仿冒電子郵件附件,
為確保網路安全,每個人都需要識別出那些經常被用來傳播惡意軟體的釣魚電子郵件附件,
在惡意軟體傳播的程序中,攻擊者會將垃圾郵件偽裝為發票、邀請、支付資訊、交通資訊、電子郵件、語音郵件等等,在打開或啟用了宏之后,這些電子郵件中包含惡意的 Word和 Excel附件或鏈接,這些附件將在計算機上安裝惡意軟體,
但 Office要求您在執行 Word或 Excel中的宏之前,先點擊“啟用編輯”或“啟用內容”按鈕,但這絕對不行,
不要在接收到的附件上點擊“打開內容”
為引誘用戶點擊這些按鈕,惡意軟體傳播者創建包含文本和圖片的 Word和 Excel檔案,在該檔案中,該檔案指出了顯示檔案的問題,然后提示收件人點擊“啟用內容”或“啟用編輯”,以便正確查看內容,
這兩個惡意附件中的文字和圖片的組合被稱為“檔案模板”,下面是垃圾郵件活動中為應對更廣泛的惡意軟體感染而使用的不同檔案模板,值得注意的是,它們也可用于不同的惡意軟體,另外,這是一個更常用的模板,但也有很多其他的模板,
Bazar Loader
巴扎羅德爾是一個以企業為目標的惡意軟體,它是由“TrickBot”木馬背后的同一個組織開發的,在安裝完成之后,攻擊者就可以利用 BazarLoader/BazarBackdoor遠程訪問您的計算機,并利用它來攻擊您網路的其他部分,
網路被 BazarLoader感染后,攻擊者通常會使用 Ryuk勒索軟體對網路上的所有設備進行加密,
BazarBackdoor通過釣魚郵件傳播的釣魚郵件通常包含谷歌的檔案以及谷歌表格中的 Word或 Excel檔案鏈接,
不過這些 Google檔案偽裝成問題,會提示您下載,此下載實際上是可執行檔案,用于安裝 BazarLoader,如下所示,
巴扎·洛德爾:偽造的 Google檔案托管附件
Dridex
Dridex是一款先進的模塊化銀行木馬,在2014年首次被發現,并不斷更新,
Dridex會下載不同的模塊,這些模塊可以用來盜取口令,提供遠程訪問計算機,或者進行其他惡意活動,
隨著 Dridex進入網路,通常會導致部署 BitPaymer或 Dridex勒索型攻擊,
另外一個被稱為 WastedLocker的敲詐也和 Dridex有關系,但是一個網路安全公司并不認同這種說法,Dridexgang不像其他惡意軟體傳播活動,它傾向于使用格式化的檔案模板來顯示較小或模糊的內容,并提示您點擊以使內容清晰可見,
舉例來說,下面的模板宣告檔案是用早期版本的 Microsoft Office Word創建的,并且在下面顯示的檔案很難閱讀,
Dridex:在 Word的早期版本中創建
Dridex還使用了更多風格化的檔案模板,它們偽裝成 DHL和 UPS的傳輸資訊,
dridex:偽造的 DHL發送資訊
最終, Dridex會顯示一些很難讀懂的付款發票,提示您點擊“啟用編輯”以正確地查看,
Dridex: Intuit假發票
上述例子表明, Dridex喜歡用嵌入的圖片以及公司的標志和標題來引誘用戶啟用宏,
Emotet
在含有惡意 Word或 Excel檔案的垃圾郵件中, Emotet是最廣為傳播的惡意軟體,一旦被感染, Emotet就會竊取受害者的電子郵件,并通過被感染的電腦向全球收件人發送更多的垃圾郵件,
被 Emotet感染的用戶最侄訓感染木馬,例如 TrickBot和 QakBot,這些木馬都被用于竊取密碼、 cookie和檔案,并導致該組織在整個網路中遭到破壞,
最后,如果 TrickBot被感染,這個網路就有可能被 Ryuk或 Conti勒索軟體所影響,對受 QakBot影響的用戶來說, ProLock敲詐軟體可以進行攻擊,
不像 Dridex, Emotet的檔案模板中沒有實際檔案的影像,相反,他們使用了各種各樣的模板,它們會顯示警告框,提示您不能正確地查看檔案,并且用戶需要點擊 EnableContent來閱讀檔案,
舉例來說,下面顯示的“RedDawn”模板宣告了“這個檔案是受保護的”,并提示您啟用內容讀取,
Dridex:“保護此檔案”模板
接下來的模板假裝無法正確地打開,因為它是在 iOS設備上創建的,
電子:在 iOS設備上創建
還有人說這個檔案是在 Windows 10移動設備上創建的,這真是個怪事,因為 Windows 10移動設備已經停產很久了,
電子:在 Windows 10手機上創建
接下來的模板裝入檔案是在" Protected View"中,用戶需要點擊" Enable Editing"以正確查看,
電子:受保護的視圖
接下來的模板更有趣,因為它告訴用戶接受 Microsoft的許可協議后再查看檔案,
電子:接受許可協議
其他有趣的模板將偽裝成 Microsoft Office激活向導,它會提示用戶“啟用編輯”以完成 Office激活,
電子: Office激活向導
最后, Emotet使用一個檔案模板,它偽裝成 Microsoft Office轉換向導,
簡單集:轉換向導
Emotet不是使用格式化的檔案模板,而是使用一般的警告來說服用戶啟用附件中的宏,
QakBot
“QakBot”或“QBot”是一個通過釣魚活動傳播的木馬,通常會將惡意的 Microsoft Word檔案發送給企業,
“QakBot”是一個模塊化的木馬,它能夠竊取銀行資訊,安裝其他惡意軟體,或者提供遠程訪問被感染的設備的功能,
和這篇文章提到的其他木馬一樣, QakBot也參與了稱為 ProLock的勒索病毒的作業,而 ProLock通常是這次攻擊的最后負載,QakBot活動比 Emotet更傾向于使用更有風格的檔案模板,像下面這樣, QakBot垃圾郵件活動使用的最常見模板偽裝來自 DocuSign,
標簽: DocuSign模板
其它模板包括偽裝 Microsoft Defender或 Word中用于更新和激活螢屏的模板,如下面的模板,
QakBot: Word升級與啟用漏洞
全部可執行附件
最終,不要打開以. vbs,. js,. exe,.ps1,. jar,. bat,. com或. scr擴展名結尾的附件,因為所有這些擴展名都可用于執行計算機上的命令,
因為大部分電子郵件服務(包括 Office和 Gmail)可以阻止“可執行”附件,惡意軟體傳播者把這些附件發送到一個有密碼保護的檔案中,并在電子郵件中包含這些密碼,這種技術可以使可執行附件繞過電子郵件安全網關,到達預定的收件人,
JAR附件
遺憾的是, Microsoft決定默認隱藏檔案擴展名,這使得攻擊者可以誘騙用戶運行不安全的檔案,所以 BleepingComputer強烈建議所有 Windows用戶都允許顯示檔案擴展名,
假如您收到一封包含可執行檔案型別的電子郵件,它幾乎毫無疑問是惡意的,您應該立即洗掉它,
點擊了解更多資料,更有免費開源專案和課程等你觀看哦!
------------恢復內容結束------------
------------恢復內容結束------------
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/184097.html
標籤:其他