我们观察到,从2018年12月31日开始,在超过72,000个电子邮件样本中JavaScript恶意软件突然激增,这些电子邮件样本源自并传播了至少八种其他类型的恶意软件(例如GandCrab勒索软件和硬币矿工)。我们的遥测数据显示,来自的检测次数最高 ,,,德国,,菲律宾和加拿大,其中大多数目标是教育,政府,制造业和银行业。 在发布时,该IP地址已被阻止。 趋势科技机器学习和行为检测技术会在发现时主动阻止恶意JavaScript。
图1.来自趋势科技云安全智能防护网络 ™的数据显示,从2019年开始,恶意软件的传播激增,其中1月3日数量最多 检测数量。
图2.发现感染的人数最多的国家。
行为
SANS ISC报告,垃圾邮件具有不同的主题标题和随机的电子邮件地址。 单击附件中的ZIP文件将触发JavaScript(趋势科技检测为TROJAN.JS.PLOPROLO.THOAOGAI),以从命令和控制(C&C)服务器下载GandCrab,Smoke,AZORult,Phorpiex和coinminer等恶意软件。 图3.超过72,000个带有JavaScript恶意软件的邮件示例。 图4.此活动传播的恶意软件有效载荷。
[阅读:发现滥发垃圾邮件活动SetingContent-ms发现丢弃了Necurs分发的相同FlawedAmmyy RAT]
我们的检测系统的突然增加在短短几天内揭示了成千上万种独特的SHA。 该IP地址(我们追踪到已在俄罗斯注册)在撰写本文时不再可用,但有效负载仍可在线获取。 有趣的是,网络分子会更改.EXE文件中包含的恶意软件,并根据目标区域和目标行业传播各种恶意软件。
图5.脚本从IP地址下载了不同的恶意软件。 在撰写本文时,已经分析了该.EXE的内容以下载GandCrab。 图6.即使已注册的IP地址被阻止,其他站点仍会提供该文件 并发送垃圾邮件。
网络分子将采用新的甚至更老的技术来损害用户和企业以牟取暴利。 恶意垃圾邮件营销活动中的JavaScript恶意软件不是新生事物,但对用户仍然很危险,因为它可能不再需要可执行文件,也不再需要与用户进行进一步的交互。 此外,当恶意代码保存在硬盘驱动器中时,Windows可以默认根据基于已启用JavaScript的页面在线使用的JavaScript库所引用的代码来运行这些代码。
[阅读:相同但又崭新:恶意软件垃圾邮件附件中出现了新的文件类型]
打开恶意电子邮件或附件可能会启动恶意软件下载,不仅可以访问,收集和窃取专有信息和系统信息,而且还可能出于恶意目的启用其他功能,例如远程管理员控制。 要防御这些类型的威胁,请执行以下操作: 避免单击或打开来自可疑或陌生发件人的电子邮件,URL链接或附件。 定期备份重要文件。 练习3-2-1系统。 安装多层保护系统,该系统可以检测和阻止恶意电子邮件,附件,URL和网站。
趋势科技解决方案
趋势科技云安全智能防护套件™阻止了垃圾邮件,JavaScript恶意软件和恶意IP。
妥协指标
恶意IP:
92 [。] 63 [。] 197 [。] 48(C&C服务器)
还有Raphael Centeno,Junestherry Salvador,Paul Pajares和Franklynn Uy的其他见解。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢