微软表示,正在进行的TA505网络钓鱼活动正在使用带有HTML重定向器的附件来传递恶意Excel文档,这是威胁参与者首次采用这种技术。
微软安全情报 帐户在一系列推文中详细介绍了这个新的活动 ,研究人员说,最终的有效负载正在使用捆绑了恶意宏的Excel文档删除。
TA505(也跟踪SectorJ04)是一个经济动机的网络犯罪集团活跃,因为至少Q3教案汇编[ 1, 2 ]对于注重对零售企业和金融机构的攻击通过由Necurs僵尸网络驱动的大型恶意的垃圾邮件活动闻名。
该威胁 参与者分发了远程访问特洛伊木马(RAT)和 恶意软件下载程序,将Dridex和Trick银行特洛伊木马作为辅助负载,并在目标计算机上分发了Locky,BitPaymer,Philadelphia,GlobeImposter,Jaff勒索软件。[ 1, 2 ]
来自ProofPoint的Kafeine告诉BleepingComputer,切换到HTML附件发生在2020年1月中。
TA505放假回来
微软安全情报的研究人员解释说:“新的活动使用了附加在电子邮件上的HTML重定向器。打开后,HTML导致下载了一个恶意的,载有大量宏的Excel文件,该文件丢失了有效负载。” “相比之下,过去的Dudear电子邮件活动将恶意软件作为附件携带或使用了恶意URL。”
正如开头提到的那样,此活动还标志着HTML重定向器的采用,因为这是Microsoft首次观察到TA505将该技术用作其攻击的一部分。
过去散布恶意软件的电子邮件活动会通过附件或通过恶意下载URL将有效负载传递到受害者的计算机上。
网上诱骗邮件带有HTML附件,这些附件将自动开始下载用于删除有效负载的Excel文件。
受害者被指示在其计算机上打开Excel文档,因为在线预览不可用,并允许进行编辑以访问其内容。
“一旦启用了编辑,请从上方黄色栏中单击“启用内容”,”诱饵Microsoft Office文档添加。
网络钓鱼活动背后的运营商还为来自世界各地的受害者使用不同语言的本地化HTML文件。
此外,攻击者还利用IP追溯服务,使他们能够“跟踪下载恶意Excel文件的计算机的IP地址”。

一旦在受害者的计算机上执行该恶意软件,该恶意软件还将尝试删除由Microsoft跟踪为GraceWire和 Proofpoint 称为FlawedGrace的远程访问木马(RAT) 。
Microsoft Security Intelligence提供了完整的危害指标(IOC)列表,其中包括此处和此处的活动中使用的恶意软件样本的SHA-256哈希值。
*编译:Domino
*来自:Bleepingcomputer