感染Windows的最常见恶意电子邮件附件

作者
恶意附件

为了保持在线安全,每个人都需要识别网络钓鱼电子邮件中通常用于分发恶意软件的恶意附件。

分发恶意软件时,威胁参与者会创建垃圾邮件活动,这些活动伪装成发票,邀请,付款信息,运输信息,电子传真,语音邮件等。这些电子邮件中包含恶意的Word和Excel附件或指向它们的链接,当打开这些附件并启用了宏后,这些附件就会在计算机上安装恶意软件。

但是,在Word或Excel执行文档中的宏之前,Office要求您单击“启用编辑”或“启用内容”按钮,您永远不要这样做。

切勿在收到的附件上单击“启用内容”
切勿在收到的附件上单击“启用内容”

为了诱使用户单击这些按钮,恶意软件分发者会创建包含文本和图像的Word和Excel文档,其中指出了显示文档的问题。然后,它提示收件人单击“启用内容”或“启用编辑”以正确查看内容。

这些恶意附件中的文本和图像的组合称为“文档模板”。

以下是垃圾邮件活动中针对一些更广泛的恶意软件感染所使用的不同文档模板。

应当注意的是,这些文档模板也可以与以下关联的恶意软件一起使用。此外,这是更常见模板的示例,但还有许多其他模板。

BazarLoader

BazarLoader是由TrickBot木马背后的同一组织开发的针对企业的恶意软件。安装后,威胁攻击者可以使用BazarLoader / BazarBackdoor远程访问您的计算机,然后将其用于破坏网络的其余部分。

当网络感染了BazarLoader时,威胁行动者通常最终会部署Ryuk勒索软件来加密网络上的所有设备。

通过网络钓鱼电子邮件分发BazarBackdoor的网络钓鱼电子邮件通常包含指向托管在Google文档和Google表格上的Word或Excel文档的链接。

但是,这些Google文档文档伪装成问题,并提示您下载文档。该下载实际上是安装BazarLoader的可执行文件,如下所示。

BazarLoader:伪造的Google文档托管附件
BazarLoader:伪造的Google文档托管附件

Dridex

Dridex是先进的模块化银行木马,于2014年首次发现并不断更新。

感染后,Dridex将下载不同的模块,这些模块可用于窃取密码,提供对计算机的远程访问或执行其他恶意活动。

当Dridex危害网络时,通常会导致部署BitPaymer或Dridex勒索软件攻击。 

人们还认为另一种名为WastedLocker的勒索软件与Dridex有关,但是一家网络安全公司不同意这些评估。

与其他恶意软件分发活动不同,Dridex帮派倾向于使用更具风格的文档模板,这些模板显示较小或模糊的内容,并提示您单击“启用内容”以更好地查看它。

例如,下面的模板指出该文档是在Microsoft Office Word的早期版本中创建的,并在其下面显示了难以阅读的文档。

Dridex:在早期版本的Word中创建
Dridex:在早期版本的Word中创建

Dridex还使用更多风格化的文档模板,假装是DHL和UPS的运输信息。

Dridex:假DHL运送信息
Dridex:假DHL运送信息

最后,Dridex将显示一些难以阅读的付款发票,提示您单击“启用编辑”以正确查看它。

Dridex:Intuit的伪造发票
Dridex:Intuit的伪造发票

从上面的示例中可以看到,Dridex喜欢使用带有公司徽标和抬头的嵌入式文档的图像来欺骗用户启用宏。

Emotet

Emotet是包含恶意Word或Excel文档的垃圾邮件中分布最广的恶意软件。一旦受到感染,Emotet将窃取受害者的电子邮件,并使用被感染的PC向全球的收件人发送更多垃圾邮件。

感染了Emotet的用户最终将进一步感染特洛伊木马,例如TrickBot和QakBot。这两种木马均用于窃取密码,Cookie,文件,并导致组织在整个网络范围内遭受破坏。

最终,如果感染了TrickBot,则网络很可能会受到Ryuk或Conti勒索软件攻击的影响。对于受QakBot影响的用户,可能会受到ProLock勒索软件的攻击。

与Dridex不同,Emotet不在其文档模板中使用实际文档的图像。取而代之的是,他们使用了各种各样的模板,这些模板显示警告框,提示您无法正确查看文档,并且用户需要单击“启用内容”以阅读文档。

例如,下面显示的“ Red Dawn ”模板指出“此文档受保护”,然后提示您启用“内容”以读取它。

Dridex:此文档是受保护的模板
Dridex:“此文档受保护”模板

下一个模板假装它无法像在“ iOS设备”上创建时那样正确打开。

Emotet:在iOS设备上创建
Emotet:在iOS设备上创建

另一个人指出该文档是在“ Windows 10移动版”上创建的,这很奇怪,因为Windows 10移动版已经停产了一段时间。

Emotet:在Windows 10移动版上创建 
Emotet:在Windows 10移动版上创建 

下一个模板假装该文档处于“受保护的视图”中,并且用户需要单击“启用编辑”才能正确查看它。

Emotet:受保护的视图
Emotet:受保护的视图

下一个模板更加有趣,它告诉用户在查看文档之前先接受Microsoft的许可协议。 

Emotet:接受许可协议
Emotet:接受许可协议

另一个有趣的模板是Microsoft Office激活向导,它提示用户“启用编辑”以完成Office激活。

Emotet:Office激活向导
Emotet:Office激活向导

最后,众所周知,Emotet使用一个伪装成Microsoft Office转换向导的文档模板。

Emotet:转换向导
Emotet:转换向导

如您所见,Emotet代替了样式化的文档模板,而是使用常规警告来试图说服用户在附件中启用宏。

QakBot

QakBot或QBot是一种银行木马,通过网络钓鱼活动传播,该网络钓鱼活动通常向企业传递恶意的Microsoft Word文档。

QakBot是一种模块化木马,它具有窃取银行信息,安装其他恶意软件或提供对受感染机器的远程访问的功能。 

像本文中的其他木马一样,QakBot还与名为ProLock的勒索软件感染合作,后者通常是攻击的最终有效载荷。

与Emotet相比,QakBot广告系列倾向于使用更多风格化的文档模板。QakBot垃圾邮件活动使用的最常见模板伪装来自DocuSign,如下所示。

QakBot:DocuSign模板
QakBot:DocuSign模板

其他模板包括伪装来自Microsoft Defender或Word更新和激活屏幕的模板,例如以下模板。

QakBot:Word更新和激活错误
QakBot:Word更新和激活错误

所有可执行附件

最后,永远不要打开以.vbs,.js,.exe,.ps1,.jar,.bat,.com或.scr扩展名结尾的附件,因为它们都可以用于在计算机上执行命令。

由于大多数电子邮件服务(包括Office和Gmail)都会阻止“可执行”附件,因此恶意软件分发者会将它们发送到受密码保护的档案中,并将密码包含在电子邮件中。

此技术允许可执行附件绕过电子邮件安全网关并到达预期的收件人。

JAR附件
JAR附件

不幸的是,Microsoft决定默认情况下隐藏文件扩展名,该扩展名允许威胁参与者诱骗用户运行不安全的文件。因此,BleepingComputer强烈建议所有Windows用户启用文件扩展名的显示。

如果您收到包含这些可执行文件类型之一的电子邮件,则该电子邮件无疑无疑是恶意的,应立即删除。

*编译:Domino

*来自:bleepingcomputer