新闻中心

Hot News

不寻常的恶意邮件活动针对使用微软Publisher档案的银行

不寻常的恶意邮件活动针对使用微软Publisher档案的银行


Trustwave的研究员发现了针对银行的FlawedAmmyy RAT恶意邮件活动。

这个恶意邮件活动的特点是使用微软Office Publisher档案来感染受害者的系统。专家注意到,使用微软Office Publisher档案(.pub附件)和主旨『付款建议』发送到属于银行领域的电子邮件数量异常增加。这个活动非常小,但似乎非常关注银行。 垃圾邮件包含下载FlawedAmmyy远程访问木马(RAT)的网址,这是一个众所皆知的后门。这个活动的另一个有趣的方面是它由Necurs殭尸网络提供支持。

Trustwave发布的分析:『这个活动系列在使用.pub档案时很不寻常。它似乎也起源于Necurs殭尸网络,这是一个恶名昭彰的殭尸网络,负责过去大量的恶意软件散播』『与之前的大量活动不同,这次活动很小,有趣的是,我们看到的所有To地址栏都属于银行,这表明攻击者希望透过FlawedAmmyy RAT在银行内立足。』

当受害者打开pub档案时,系统会提示他们『启用宏』,早期版本的微软Publisher可能会显示『启用编辑』和『启用内容』的说明。在微软Publisher中手动打开Visual Basic编辑器(VBA编辑器)并在项目资源管理器中点击『This Document』时,VBScript将执行包含RAT的武器化存档。分析文章继续提到:『使用Document_Open()函数触发宏脚本。顾名思义,当档案打开时,脚本将存取网址并执行下载的档案。』恶意代码利用窗体中的控件来隐藏它从中下载RAT的网址,网址储存在Tag属性中。

研究人员表示:『当我们检查样本时,网址已经无法存取,但稍微进一步的研究表明这个网址用于下载包含FlawedAmmyy RAT的自解压缩文件』7月时,Proofpoint发现了另一个大规模的恶意邮件活动,提供FlawedAmmyy RAT,利用包含恶意SettingContent-ms档案的武器话PDF文件发送电子邮件。这个活动归功于出于经济动机的网络犯罪组织TA505。

Trustwave总结:『这个活动系列在使用.pub档案时很不寻常。它似乎也起源于Necurs殭尸网络,这是一个恶名昭彰的殭尸网络,负责过去的大量恶意软件散播(见这里和这里)。』『与之前的大量活动不同,此次活动很小,有趣的是,我们看到的弱有To地址栏都属于银行,这表明攻击者希望透过FlawedAmmyy RAT在银行内立足。』专家发布的分析报告提供技术细节包括IoC。

守内安信息科技(上海)有限公司,是上海市政府及国家奖励支持的软件自主研发高科技创新企业,钻研于邮件过滤管理和网络内容安全,不断推陈出新,产品均取得国家版权局的计算机软件著作权。

主要的产品有:

  1. HMDS高性能邮件威胁防御系统
  2. Mail Archiving Expert电子邮件归档专家
  3. Mail SQR Expert电子邮件防泄密(审计)管理

关注“softnext守内安”公众号,获取更多资讯

登入

登入成功